NCSC waarschuwt voor actief misbruik van kritiek Windows Server-lek
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Windows Server waarvoor Microsoft gisteren een noodpatch uitbracht. Via het beveiligingslek in de Windows Server Update Service (WSUS) kan een ongeauthenticeerde aanvaller kwetsbare Window-servers op afstand volledig overnemen, als voor de server de WSUS-rol is ingesteld. Iets dat niet standaard het geval is.
"Het NCSC heeft van een vertrouwde partner vernomen dat op 24 oktober 2025 misbruik van CVE-2025-59287 is waargenomen. Tevens is er publieke proof-of-conceptcode beschikbaar voor de betreffende CVE, wat het risico op misbruik verhoogt. Het is goed gebruik om WSUS niet direct aan het internet te ontsluiten", zo laat het NCSC in een beveiligingsadvies over de kwetsbaarheid weten.
Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder Windowscomputers op het netwerk. Hierdoor hoeven niet alle computers de updates apart te downloaden. Het is een integraal onderdeel van Windows Server. Een "deserialization" kwetsbaarheid bij het verwerken van onbetrouwbare data zorgt ervoor dat een ongeauthenticeerde aanvaller, op afstand code op een Windows-server kan uitvoeren met SYSTEM-rechten. Hiervoor volstaat het versturen van een speciaal geprepareerd request naar de Windows-server.
De impact van CVE-2025-59287 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam op 14 oktober al met een beveiligingsupdate, maar heeft gisteren het beveiligingsbulletin aangepast en laat weten dat proof-of-concept exploitcode publiek beschikbaar is. Daarnaast heeft het techbedrijf een "out of band security update" uitgebracht om de kwetsbaarheid "volledig" te patchen.
De patch is beschikbaar voor Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installatie) en Windows Server 2025. Microsoft had al bij het uitbrengen van de eerste update op 14 oktober aangegeven dat verwacht misbruik van het beveiligingslek "more likely" is.
Microsoft producten zijn sinds dag 1 lek en er zal nooit een dag zijn dat het niet lek zal zijn.
Simpelweg omdat het een Amerikaans product is...
De Amerikaanse overheid zal nooit toestaan dat het een veilig product zou worden, al zouden ze het voor elkaar krijgen met die zooi aan elkaar geplakte brakke code.
Dat was de reden van de VS om vol in te gaan op anti linux... die had de kans om veilig te worden... veiliger dan MIcrosoft in ieder geval... En if you can't beat them, infect them. Torvald kan het nooit voorkomen dat de 3 en 4 letterige afkortingen software inbakken in de kernel, in de drivers... En hij kan het zelf niet alleen behappen... Dus elk stukje software is vanaf fabriek lek voor de veiligheid....
Net zoals dat betonblokken op de weg gooien door dronken mafkezen levensgevaarlijk is, maar wanneer de gemeente hetzelfde doet, dan is het voor de verkeersveiligheid.
Er is geen noodzaak om wsus servers rechtstreeks vanuit het internet benaderbaar te maken natuurlijk. De wsus servers moeten alleen bij Microsoft de updates kunnen ophalen. Management gebeurt intern of via een netwerk vpn/portal
Microsoft producten zijn sinds dag 1 lek en er zal nooit een dag zijn dat het niet lek zal zijn.
Simpelweg omdat het een Amerikaans product is...
En dat van die Amerikanen... Dat is gewoon aluhoedje praat. Ja ze proberen soms het een en 't ander, maar niet zo als jij dat nu laat lijken.
Bewijs is dat je de GUI niet (zoals in een unix omgeving) met 1 commando kan verwijderen. Je moet dan heel windows opnieuw installeren!!
Microsoft producten zijn sinds dag 1 lek en er zal nooit een dag zijn dat het niet lek zal zijn.
Simpelweg omdat het een Amerikaans product is...
En dat van die Amerikanen... Dat is gewoon aluhoedje praat. Ja ze proberen soms het een en 't ander, maar niet zo als jij dat nu laat lijken.
Wat hij bedoelt is dat windows vanaf dag 1 continue kritiek lek is. Zie hiervoor patch Tuesday..
Microsoft producten zijn sinds dag 1 lek en er zal nooit een dag zijn dat het niet lek zal zijn.
Simpelweg omdat het een Amerikaans product is...
En dat van die Amerikanen... Dat is gewoon aluhoedje praat. Ja ze proberen soms het een en 't ander, maar niet zo als jij dat nu laat lijken.
Wat hij bedoelt is dat windows vanaf dag 1 continue kritiek lek is. Zie hiervoor patch Tuesday..
Nadeel is alleen, omdat het zo verspreid is, lees je er alleen weinig over, wat de patches exact doen. De meeste installeren ze gewoon blind, of patchen wanneer ze zin hebben.
Wil je het dus eerlijk vergelijken, moet je wel een eerdere vergelijking doen. Windows is meer dan alleen "Windows", het is een file sharing, directory services, log management, bevat disk management, kerberos, web interfaces, webbrowser, Remote procedure calls, Remote Desktop, virtualisatie manager en hypervisor, file explorer, shell. Moet ik nog even door gaan?
Wat ook nog eens kan verschillen per distributie of soms weer een symbolic link kan zijn.
Voor een gebruiker is dat onbegrijpelijk.
Een drive letter vind ik zelf vrij duidelijk, ook voor een gebruiker gemakkelijk te begrijpen of uit te leggen. Ik heb de nodige moeite om een gebruiker soms uit te leggen een mount point werkt voor een USB stick in Linux.
Microsoft producten zijn sinds dag 1 lek en er zal nooit een dag zijn dat het niet lek zal zijn.
Simpelweg omdat het een Amerikaans product is...
En dat van die Amerikanen... Dat is gewoon aluhoedje praat. Ja ze proberen soms het een en 't ander, maar niet zo als jij dat nu laat lijken.
Wat hij bedoelt is dat windows vanaf dag 1 continue kritiek lek is. Zie hiervoor patch Tuesday..
Nadeel is alleen, omdat het zo verspreid is, lees je er alleen weinig over, wat de patches exact doen. De meeste installeren ze gewoon blind, of patchen wanneer ze zin hebben.
Wil je het dus eerlijk vergelijken, moet je wel een eerdere vergelijking doen. Windows is meer dan alleen "Windows", het is een file sharing, directory services, log management, bevat disk management, kerberos, web interfaces, webbrowser, Remote procedure calls, Remote Desktop, virtualisatie manager en hypervisor, file explorer, shell. Moet ik nog even door gaan?
Het topic is niet voor niets een kritiek windows server lek en geen aantal patches probleem. Je willekeurige opsommingslijst is nutteloos dat maakt het alleen nog maar erger als je alleen al naar de browser kijkt, maar een browser heeft niets met windows te maken, deze is zelfs multiplatform.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?