WSUS-Exploit und Phishing-Welle: Doppelangriff auf Windows-Netze

Eine gefährliche Kombination bedroht derzeit Unternehmensnetzwerke weltweit. Während chinesische Hackergruppen eine kritische Sicherheitslücke in Windows-Servern ausnutzen, um Spionage-Software zu verbreiten, täuschen parallel hochentwickelte Phishing-Attacken selbst geschulte Mitarbeiter. Die Angriffswellen überlagern sich zeitlich – und könnten verheerender kaum kommen.

Besonders brisant: Die Server-Schwachstelle betrifft ausgerechnet jenen Dienst, über den Unternehmen normalerweise Sicherheitsupdates verteilen. Wird er kompromittiert, öffnet das Hackern die Hintertür zum gesamten Netzwerk. Gleichzeitig nutzen Kriminelle die Vorweihnachtszeit, um mit gefälschten Black-Friday-Angeboten und täuschend echten Login-Fenstern Zugangsdaten abzugreifen.

Das südkoreanische AhnLab Security Intelligence Center bestätigte gestern die aktive Ausnutzung von CVE-2025-59287, einer kritischen Schwachstelle im Windows Server Update Services (WSUS). Microsoft hatte zwar bereits Ende Oktober einen Notfall-Patch veröffentlicht, doch die Angriffe haben sich in den vergangenen 72 Stunden dramatisch verschärft.

Chinesische Hackergruppen nutzen die Lücke, um über das PowerShell-Tool PowerCat Fernzugriff auf Unternehmensserver zu erlangen. Anschließend installieren sie ShadowPad – einen modularen Trojaner, der seit Jahren mit staatlich gelenkter Spionage in Verbindung gebracht wird.

Browser‑in‑the‑Browser‑Phishing (BitB) und gefälschte Vorweihnachts‑Angebote umgehen klassische Schutzmechanismen und stehlen Zugangsdaten selbst bei wachsamen Mitarbeitern. Das kostenlose Anti‑Phishing‑Paket erklärt in vier praxisnahen Schritten, wie Unternehmen BitB‑Techniken erkennen, Mitarbeitende gezielt schulen, technische Abwehrregeln einführen und Incident‑Response‑Vorlagen nutzen können – inklusive sofort einsetzbarer Checklisten. Jetzt kostenloses Anti‑Phishing‑Paket herunterladen

„Die Angreifer haben bemerkenswerte Geschwindigkeit gezeigt”, erklären die ASEC-Forscher. „Vom ersten Proof-of-Concept bis zur vollständigen Malware-Verteilung vergingen nur wenige Wochen.”

Die Schwachstelle ermöglicht es unangemeldeten Angreifern, beliebigen Code mit höchsten Systemrechten auszuführen. Weil WSUS-Server Updates für hunderte oder tausende Arbeitsplätze verteilen, kann eine einzelne Kompromittierung zur Supply-Chain-Attacke von innen werden.

Phishing-Attacken erreichen neue Qualitätsstufe

Während IT-Abteilungen ihre Server absichern, öffnet sich eine zweite Angriffsfront: Browser-in-the-Browser-Phishing (BitB) täuscht selbst wachsame Nutzer. Das aktualisierte Phishing-as-a-Service-Kit „Sneaky 2FA” ermöglicht es Kriminellen, gefälschte Login-Fenster zu erzeugen, die von echten kaum zu unterscheiden sind.

Das Perfide daran? Die Fenster zeigen in ihrer Adresszeile die korrekte URL wie login.microsoftonline.com – obwohl es sich um pure HTML-Attrappen innerhalb der betrügerischen Webseite handelt. „BitB wurde entwickelt, um verdächtige URLs zu verschleiern, indem es normale Browser-Authentifizierung simuliert”, erklärt Push Security.

Aktuell läuft eine Massenkampagne, die angebliche Sicherheitswarnungen von Meta und Microsoft imitiert. Browser-Benachrichtigungen behaupten, das Konto sei gefährdet. Ein Klick öffnet die täuschend echte Phishing-Seite – selbst der Blick in die Adresszeile hilft nicht mehr weiter.

Black Friday als Turbo für Betrugsmaschen

Der zeitliche Zusammenfall mit dem Vorweihnachtsgeschäft verschärft die Lage zusätzlich. Bitdefender warnt vor einer Welle gefälschter Angebote, die deutsche und internationale Konsumenten ins Visier nehmen. Betrüger geben sich als Amazon oder Temu aus und locken mit scheinenden Schnäppchen.

Die Masche: Nutzer sollen angeblich ein Browser-Problem beheben oder einen Treiber aktualisieren, um ein Angebot sehen zu können. Tatsächlich installieren sie dabei Malware, die Passwörter und Login-Daten abgreift – genau jene Informationen, auf die auch die BitB-Angriffe abzielen.

„Die Verwendung legitimer Google-Cloud-Infrastruktur erschwerte Blockierung und Erkennung erheblich”, berichtet Bitdefender. Herkömmliche Spam-Filter würden mit hoher Erfolgsquote umgangen.

Der perfekte Sturm für IT-Sicherheit

Die Überlagerung beider Bedrohungen stellt IT-Teams vor eine Extremsituation. Der WSUS-Exploit attackiert das „Immunsystem” der Infrastruktur – ausgerechnet jenes System, das Schwachstellen schließen soll. Parallel umgehen die Phishing-Kampagnen mit bisher unerreichter Raffinesse alle bekannten Erkennungsmerkmale.

Besonders alarmierend: Die Beteiligung von ShadowPad deutet auf kalkulierte Spionageoperationen hin. Der Trojaner ist historisch mit Gruppen wie APT41 und Winnti verknüpft – Organisationen, die auf langfristige Netzwerkpräsenz und Datenexfiltration spezialisiert sind, nicht auf schnelle Lösegelderpressung.

„Jeder ungepatchte WSUS-Server, der zu diesem Zeitpunkt online ist, sollte als kompromittiert betrachtet werden”, warnen Sicherheitsforscher eindringlich.

Was Unternehmen jetzt tun müssen

Organisationen sollten davon ausgehen, dass jeder öffentlich erreichbare WSUS-Server ohne sofortiges Oktober-Update bereits infiltriert wurde. Incident-Response-Teams müssen gezielt nach PowerCat-Ausführungsprotokollen und ShadowPad-Indikatoren suchen.

Für Endanwender bedeutet die Entwicklung das Ende des Ratschlags „Prüfe die URL”. Experten drängen auf raschen Umstieg zu FIDO2-Hardwareschlüsseln oder Passkeys. Anders als Passwörter oder SMS-basierte Zweifaktor-Authentifizierung sind diese an die exakte Domain gebunden – ein gefälschtes Fenster kann sie nicht abfangen, egal wie realistisch es aussieht.

Die letzte Novemberwoche 2025 wird zur Bewährungsprobe für Unternehmens-Cybersicherheit. Das Weihnachtsgeschäft fungiert dabei als Verstärker für Phishing-Traffic – eine Kombination, die sich Angreifer gezielt zunutze machen.

PS: Sie können sich nicht länger auf einfache URL‑Checks verlassen. Das Anti‑Phishing‑Paket erklärt, wie Sie moderne BitB‑Tricks wie „Sneaky 2FA” und die Taktiken hinter ShadowPad früh erkennen und stoppen – mit branchenspezifischen Maßnahmen, Mitarbeiterschulungs-Vorlagen und klaren Handlungsschritten für Incident Response. Kostenloses Anti‑Phishing‑Paket anfordern