Schwachstelle bei Windows Server Update Services im Visier der Cyberkriminellen

Am 24. Oktober entdeckte Sophos den Missbrauch einer kritischen Lücke in mehreren Kundenumgebungen. Die Angriffswelle, die sich über mehrere Stunden erstreckte und auf öffentlich zugängliche WSUS-Server abzielte, betraf Kunden verschiedenster Branchen und schien kein gezielter Angriff zu sein. Es ist unklar, ob die Angreifer den öffentlich verfügbaren Proof-of-Concept nutzten oder einen eigenen Exploit entwickelten.

„Diese Aktivität zeigt, dass Angreifer schnell gehandelt haben, um diese kritische Schwachstelle in WSUS auszunutzen und wertvolle Daten von gefährdeten Organisationen zu sammeln. Über die Sophos-Telemetrie haben wir bisher sechs Vorfälle eindeutig identifiziert, aber das dürfte nur die Spitze des Eisbergs sein. Weitere Untersuchungen identifizierten mindestens 50 Opfer, hauptsächlich in den USA, darunter Universitäten, Technologie-, Produktions- und Gesundheitsorganisationen. Möglicherweise handelte es sich um eine erste Test- oder Aufklärungsphase, und die Angreifer analysieren nun die gesammelten Daten, um neue Angriffsmöglichkeiten zu identifizieren. Derzeit beobachten wir keine weiteren Massenangriffe, aber es ist noch zu früh, und die Sicherheitsverantwortlichen sollten dies als Frühwarnung betrachten. Organisationen sollten sicherstellen, dass ihre Systeme vollständig gepatcht sind und die WSUS-Server sicher konfiguriert sind, um das Risiko eines Angriffs zu minimieren.“ – Rafe Pilling, Director of Threat Intelligencebei der Sophos Counter Threat Unit  

Die CTU-Forscher empfehlen Unternehmen, die Herstellerwarnung zu beachten und die Patches sowie die Anweisungen zur Behebung der Schwachstelle umgehend anzuwenden.

Mehr Infos gibt es im englischen Blogbeitrag mit Details zu den Erkenntnissen. Für ein persönliches Gespräch organisieren wir gerne ein Gespräch mit einem der CTU-Experten.