Het cyberagentschap van de Amerikaanse overheid heeft organisaties opgeroepen om op kwetsbare Windows-servers te controleren. Aanleiding is actief misbruik van een kritieke kwetsbaarheid in de Windows Server Update Service (WSUS), aangeduid als CVE-2025-59287. Via WSUS kunnen organisaties Windows-updates binnen hun netwerk uitrollen.

WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder Windowscomputers op het netwerk. Hierdoor hoeven niet alle computers de updates apart te downloaden. Het is een integraal onderdeel van Windows Server, maar staat niet standaard ingesteld. Een Windows-server moet als WSUS-server door een organisatie worden geconfigureerd. De nu waargenomen aanvallen werken dan ook alleen tegen Windows-servers waarvoor de WSUS-rol is ingesteld.

Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om te controleren of er kwetsbare Windows-servers in hun omgeving staan. Het gaat dan om WSUS-servers met open TCP-poorten 8530 en 8531. Zo moet worden gecontroleerd of de WSUS-rol staat ingeschakeld. Vervolgens moet de noodpatch die Microsoft op 23 oktober uitbracht worden geïnstalleerd en het systeem herstart.

Organisaties die de noodpatch niet meteen kunnen installeren worden opgeroepen om de WSUS-rol uit te schakelen en/of inkomend verkeer naar TCP-poorten 8530 en 8531 te blokkeren. Verder wordt aangeraden om te monitoren op verdachte activiteiten en processen met SYSTEM-rechten. Volgens The Shadowserver Foundation zijn nog duizenden kwetsbare WSUS-servers vanaf het internet toegankelijk.