Windows-Updates als Einfallstor: Doppelschlag gegen IT-Infrastruktur

Eine turbulente Woche erschüttert die Cybersecurity-Landschaft: Windows-Administratoren sehen sich gleich zwei kritischen Bedrohungen gegenüber, die die Verwundbarkeit veralteter Update-Systeme schonungslos offenlegen. Was ist passiert?

Nur wenige Tage nach Microsofts November-Patchday tauchten am Montag Berichte über staatlich gesteuerte Angriffe auf – Hacker nutzen eine Schwachstelle in Windows Server Update Services (WSUS), um die gefürchtete ShadowPad-Malware einzuschleusen. Einen Tag später legten Sicherheitsforscher Details zu einer kritischen Sicherheitslücke in Microsofts Update Health Tools offen. Das Erschreckende: ein simpler Konfigurationsfehler in der Azure-Cloud machte Hunderttausende Systeme angreifbar.

Die Veröffentlichungen zwischen dem 24. und 25. November versetzen IT-Sicherheitsteams weltweit in Alarmbereitschaft. Besonders brisant: Die aktive Ausnutzung der WSUS-Schwachstelle verlangt sofortiges Handeln – noch dazu in einer Zeit, in der viele US-Unternehmen wegen Thanksgiving personell dünn besetzt sind.

Passend zum Thema IT-Sicherheit: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und welche einfachen, sofort umsetzbaren Schritte Schutz bieten. Ein kostenloses E‑Book fasst aktuelle Angriffsformen, neue gesetzliche Anforderungen und praxisnahe Schutzmaßnahmen zusammen, speziell für IT-Verantwortliche und Geschäftsführer. Holen Sie sich kompaktes Praxiswissen mit Checklisten und Prioritäten, die ohne große Investitionen funktionieren. Kostenloses E‑Book „Cyber Security Awareness Trends“ herunterladen

Die größte Gefahr kommt aus einem Bericht des AhnLab Security Intelligence Center (ASEC) vom 24. November. Forscher identifizierten eine Angriffswelle, bei der Hacker eine kürzlich gepatchte Schwachstelle in Windows Server Update Services ausnutzen – CVE-2025-59287 lautet die technische Bezeichnung.

WSUS ist seit Jahren fester Bestandteil von Windows-Unternehmensumgebungen und ermöglicht IT-Abteilungen die zentrale Verteilung von Updates. Doch seit Microsoft die Ablösung des Systems angekündigt hat, steht die Technologie unter Dauerbeschuss. Die neuen Erkenntnisse zeigen: Angreifer warten nicht ab, bis Unternehmen migriert haben.

Die Angriffskette ist hochprofessionell. Zunächst verschaffen sich die Täter über CVE-2025-59287 Zugang zum WSUS-Server. Dann setzen sie PowerCat ein – ein Open-Source-PowerShell-Tool, das eigentlich für legitime Netzwerktests gedacht ist – um eine Systemshell aufzubauen. Von dort aus laden sie weitere Schadprogramme nach.

Das finale Ziel der Attacken: ShadowPad, ein modulares Backdoor-Programm, das weithin chinesischen Hackergruppen mit Staatsanbindung zugeschrieben wird. ShadowPad gilt als Nachfolger der PlugX-Malware und ist berüchtigt für seine Tarnung und Fähigkeit, verschiedene Module zur Datenexfiltration nachzuladen.

„Der Angreifer zielte auf Windows-Server mit aktiviertem WSUS ab… anschließend luden sie ShadowPad mit certutil und curl herunter und installierten es”, heißt es im ASEC-Bericht. Besonders perfide: Die Nutzung von certutil – einem legitimen Windows-Kommandozeilenprogramm – zum Download von Malware. Diese „Living-off-the-Land”-Taktik macht die Erkennung durch traditionelle Antivirenprogramme extrem schwierig.

Sicherheitsexperten appellieren eindringlich an Organisationen, die noch auf WSUS setzen: Überprüfen Sie sofort, ob alle Patches installiert sind, und suchen Sie nach Kompromittierungsspuren – insbesondere nach PowerCat-Skripten oder unerwarteten certutil-Aktivitäten auf Update-Servern.

„PayloadProd”: Die Lücke in den Update Health Tools

Einen Tag nach der WSUS-Enthüllung folgte am 25. November die nächste Hiobsbotschaft: Eine kritische Schwachstelle in den Microsoft Update Health Tools (KB4023057) wurde öffentlich. Diese Komponente ist auf Millionen Windows-10- und Windows-11-Rechnern installiert – sowohl im Consumer- als auch im Unternehmensbereich – und soll reibungslose Sicherheitsupdates gewährleisten.

Ein Bericht von Cyber Security News unter Berufung auf Forschungen von Eye Security beschreibt einen Remote-Code-Execution-Fehler (RCE), der auf einen banalen Cloud-Konfigurationsfehler zurückgeht. Version 1.0 der Update Health Tools war so programmiert, dass sie Konfigurationsdateien von Azure-Blob-Speicherkonten mit vorhersehbaren Namen abrief: von payloadprod0.blob.core.windows.net bis payloadprod15.blob.core.windows.net.

Der Skandal: Microsoft hatte es versäumt, 10 dieser 15 Speicherkonten überhaupt zu registrieren. Das bedeutete, jeder beliebige Angreifer hätte diese verfügbaren Kontonamen registrieren und bösartige Konfigurationsdateien hochladen können. Da der Update-Health-Tools-Service (uhssvc.exe) mit hohen Rechten läuft, hätte er diese Schadsoftware automatisch heruntergeladen und ausgeführt – im Glauben, es handle sich um legitime Microsoft-Anweisungen.

„Durch geschickt gestaltete JSON-Payloads, die auf legitime Windows-Programme wie explorer.exe verweisen, können Angreifer beliebigen Code auf verwundbaren Systemen ausführen”, erklären die Forscher.

Das Ausmaß war gewaltig: Nachdem Eye Security die verwaisten Konten zu Forschungszwecken registriert hatte, verzeichneten sie innerhalb von nur sieben Tagen über 544.000 HTTP-Anfragen von fast 10.000 verschiedenen Azure-Mandanten weltweit.

Der unmittelbare Angriffsvektor ist zwar geschlossen – HashiCorp-Forscher halfen im Juli 2025 dabei, die Kontrolle über die kompromittierten Speicherkonten an Microsoft zurückzuübertragen – doch die vollständige technische Offenlegung diese Woche dient als eindringliche Warnung. Sie zeigt die Risiken „baumelnder Ressourcen” in Cloud-Umgebungen und das Potenzial für Supply-Chain-Angriffe über vertrauenswürdige Update-Mechanismen.

Unternehmen sollten sicherstellen, dass alle Endgeräte mindestens Version 1.1 der Update Health Tools ausführen, die statt der anfälligen Blob-Speicher-Methode einen gesicherten Webservice unter devicelistenerprod.microsoft.com nutzt.

Ein November für die Geschichtsbücher

Diese Enthüllungen kommen im Anschluss an einen ohnehin schon heftigen Patch-Zyklus. Bereits am 11. November veröffentlichte Microsoft seine November-2025-Updates und schloss dabei 63 Schwachstellen – darunter eine Zero-Day-Lücke. Die Entwicklungen der vergangenen 72 Stunden – insbesondere die aktive Ausnutzung von CVE-2025-59287 – fallen jedoch außerhalb des regulären Patch-Rhythmus und sind als dringende, außerplanmäßige Bedrohungen einzustufen.

Die Kombination aus WSUS- und Update-Health-Tools-Schwachstellen zeichnet ein besorgniserregendes Bild des Windows-Update-Ökosystems. Auf der einen Seite wird die veraltete On-Premise-Lösung WSUS von staatlich gesteuerten Exploits zermürbt. Auf der anderen Seite wurde die moderne, Cloud-verbundene Komponente mit einem fundamentalen Architektur-Fehler erwischt.

Branchenanalysten vermuten, dass diese Vorfälle den Umstieg auf vollständig verwaltete Cloud-Patching-Lösungen wie Windows Autopatch und Microsoft Intune beschleunigen dürften. Nachdem WSUS Ende 2024 offiziell für veraltet erklärt wurde, werden die Sicherheitsargumente für die Stilllegung lokaler Update-Server immer schwerer zu ignorieren.

Die Legacy-Falle und Cloud-Risiken

Die Enthüllung der WSUS-Ausnutzung trifft besonders jene Organisationen hart, die ihre Migration zu Cloud-nativen Verwaltungslösungen verschoben haben. „WSUS war zwei Jahrzehnte lang ein Grundpfeiler der IT-Administration, aber jetzt ist es eine Belastung”, sagt Sarah Jenkins, Senior Threat Analyst bei CloudSecure Defense. „Die Tatsache, dass Gruppen wie die ShadowPad-Akteure es gezielt angreifen, zeigt: Sie wissen, dass es der weiche Unterbauch von Unternehmensnetzwerken ist – oft unüberwacht und auf älteren Server-Betriebssystemversionen laufend.”

Umgekehrt demonstriert die Update-Health-Tools-Schwachstelle, dass der Wechsel in die Cloud kein Allheilmittel ist, wenn die zugrunde liegende Implementierung mangelhaft bleibt. Das „Dangling Domain”-Problem ist ein bekanntes Cloud-Sicherheitsmuster, tauchte aber ausgerechnet in einer allgegenwärtigen Microsoft-Komponente auf. Wie lässt sich künftig verhindern, dass selbst zentrale Systemkomponenten solche Lücken aufweisen?

Was jetzt zu tun ist

In den kommenden Tagen und Wochen ist mit weiteren Versuchen zu rechnen, die WSUS-Schwachstelle auszunutzen. ShadowPad-Malware ist notorisch hartnäckig, und ihre Platzierung signalisiert meist den Beginn langfristiger Spionagekampagnen statt schneller Raubzüge.

Für die unmittelbare Zukunft sollten alle Windows-Administratoren folgende Prioritäten setzen:

1. WSUS-Server prüfen: Speziell auf CVE-2025-59287-Patches kontrollieren und nach Anzeichen unautorisierter PowerShell-Aktivität suchen.
2. Endpoint-Gesundheit verifizieren: Sicherstellen, dass der Microsoft-Update-Health-Tools-Service auf Version 1.1 oder höher aktualisiert ist.
3. Netzwerk-Monitoring: Verbindungen zu bekannten bösartigen Command-and-Control-IPs im Zusammenhang mit ShadowPad blockieren und ungewöhnlichen ausgehenden Datenverkehr von Update-Servern überwachen.

Die Ereignisse dieser Woche liefern eine unbequeme Erinnerung: Im Jahr 2025 bleibt der Update-Prozess selbst – eigentlich das Fundament der Sicherheit – ein bevorzugtes Angriffsziel hochentwickelter Gegner.

PS: Sie sind Windows-Administrator oder IT-Leiter? Diese Woche zeigt, wie schnell Update-Mechanismen zur Eintrittspforte für ausgeklügelte Malware werden können. Der Gratis-Leitfaden erklärt, welche Prioritäten jetzt wichtig sind, welche Kontrollen sofort greifen und wie Sie Ihr Unternehmen ohne teure Neueinstellungen besser schützen. Enthalten sind Checklisten und konkrete Sofort-Maßnahmen zur Härtung von Update-Infrastrukturen. Jetzt kostenlosen Cyber-Security-Guide für Entscheider sichern