top of page
wsus-vulnerability

Kritieke kwetsbaarheid in WSUS: Microsoft brengt noodpatch uit voor CVE-2025-59287

27/10/25, 13:45

Microsoft heeft een noodpatch uitgebracht voor een ernstig beveiligingslek in Windows Server Update Services (WSUS). De kwetsbaarheid, bekend als CVE-2025-59287, wordt actief misbruikt en laat aanvallers toe om code uit te voeren met systeemrechten.


Er is een kritieke kwetsbaarheid ontdekt in WSUS, het update-beheersysteem van Windows Server. Via deze fout kan een aanvaller op afstand ongeautoriseerde code uitvoeren en zo volledige controle krijgen over de server. De kwetsbaarheid, geregistreerd als CVE-2025-59287, kreeg een CVSS-score van 9,8 op 10 – de hoogste risicocategorie.



Wat is er aan de hand?

Het lek zit in de manier waarop WSUS inkomende data verwerkt (“unsafe deserialisation”). Daardoor kan een kwaadwillige actor eigen code laten uitvoeren via een gemanipuleerd verzoek. Vooral servers waarop de WSUS-rol actief is, lopen gevaar.


Microsoft bracht op 14 oktober een eerste update uit, maar kwam op 23 oktober met een out-of-band noodpatch nadat bleek dat de eerste niet volstond. Inmiddels is de kwetsbaarheid ook actief in gebruik door aanvallers, volgens rapporten van onder meer Shadowserver en CISA.


Wie is kwetsbaar?

Alle Windows Server-versies van 2012 tot en met 2025 met een actieve WSUS-rol. In veel organisaties draait WSUS als centraal updatepunt voor clients en servers — precies de plek waar een aanvaller maximale toegang kan krijgen.


Wat moet je doen?

  1. Installeer onmiddellijk de laatste WSUS-patch via Windows Update of WSUS zelf.

  2. Kun je niet meteen patchen? Schakel de WSUS-rol tijdelijk uit of blokkeer poorten 8530 en 8531.

  3. Controleer serverlogs op verdachte processen zoals w3wp.exe of wsusservice.exe.

  4. Beperk tijdelijk de toegang tot de WSUS-console vanaf het internet.


Waarom dit belangrijk is

WSUS is vaak een trusted service binnen het netwerk. Wie WSUS compromitteert, kan updates manipuleren of malware verspreiden naar honderden systemen tegelijk. Deze kwetsbaarheid is dus niet zomaar “één patch meer”, maar een directe bedreiging voor je hele update-keten.


Wat doet ez Networking?

Onze security-engineers volgen alle Microsoft-patches en CVE’s dagelijks op. We controleren actief bij klanten of WSUS-servers correct gepatcht zijn en helpen bij noodmaatregelen als uitschakeling of netwerk-isolatie.


👉 Vraag vandaag nog een snelle WSUS-check aan. We helpen je systeem binnen 24 uur veilig te stellen.

Jurgen Verhelst

bottom of page