Ga naar content
Wij zijn de #1 Microsoft partner
#1 Microsoft partner van NL
Console Trainingen Werken bij
language_gb language_be
Home Blogs Kritieke kwetsbaarheid in Windows Server Update Services (WSUS)

Kritieke kwetsbaarheid in Windows Server Update Services (WSUS)

Blogs
30-10-2025

Er is een ernstige kwetsbaarheid ontdekt in Microsoft Windows Server Update Services (WSUS). Deze kwetsbaarheid (CVE-2025-59287) maakt het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren met SYSTEEM-rechten op Windows-servers. De kwetsbaarheid heeft een CVSS-score van 9,8 en wordt op dit moment actief misbruikt.

Wat is er aan de hand

De kwetsbaarheid stelt aanvallers in staat om controle te krijgen over servers waarop de WSUS-rol is ingeschakeld. Microsoft heeft inmiddels een beveiligingsupdate uitgebracht die dit probleem oplost. Wortell raadt organisaties die WSUS gebruiken dringend aan om de patch direct te installeren of passende mitigerende maatregelen te nemen.

Getroffen systemen

  • Windows Server 2012 / 2012 R2

  • Windows Server 2016

  • Windows Server 2019

  • Windows Server 2022 / 23H2

  • Elk systeem waarop de WSUS-rol is ingeschakeld

Wie loopt risico

Organisaties die WSUS gebruiken lopen het grootste risico, vooral als WSUS-poorten (TCP 8530 en 8531) extern bereikbaar zijn. Ook interne servers kunnen kwetsbaar zijn als gecompromitteerde endpoints verbinding kunnen maken met WSUS. Servers zonder de WSUS-rol zijn niet kwetsbaar.

Aanbevolen acties

Onmiddellijk

  • Installeer de nieuwste out-of-band patch van Microsoft voor CVE-2025-59287.

  • Herstart getroffen systemen na installatie.

  • Schakel de WSUS-rol tijdelijk uit als deze niet bedrijfskritisch is.

Op korte termijn

  • Beperk inkomend verkeer naar poorten 8530 en 8531 via firewallregels.

  • Controleer WSUS-servers op ongebruikelijke procescreatie (bijv. cmd.exe, powershell.exe, onbekende .NET-binaries).

  • Analyseer logboeken op verdachte of ongeautoriseerde toegangspogingen.

Op lange termijn

  • Voer een beveiligingsaudit uit van WSUS-systemen.

  • Segmenteer WSUS van netwerken die met het internet in contact staan.

  • Werk documentatie en playbooks bij met WSUS-specifieke maatregelen.

  • Zorg voor regelmatig testen van patchmanagementprocessen.

Wortell Managed Services

Heeft jouw organisatie een Managed Services-contract waarin WSUS is opgenomen binnen de demarcatie? Dan is er automatisch een incident aangemaakt en wordt het probleem actief door Wortell opgelost.

Meer informatie over deze kwetsbaarheid is beschikbaar via de officiële Microsoft-beveiligingsmelding