Er is een ernstige kwetsbaarheid ontdekt in de Windows Server Update Service (WSUS) van Microsoft, die momenteel actief wordt misbruikt. WSUS zorgt ervoor dat updates centraal worden gedownload en binnen een netwerk worden verspreid naar Windows-systemen. De kwetsbaarheid, geregistreerd als CVE-2025-59287, maakt het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren op het kwetsbare systeem.

Het Nationaal Cyber Security Centrum (NCSC) meldt dat op 24 oktober 2025 door een betrouwbare partner actief misbruik van deze kwetsbaarheid is waargenomen. Naar aanleiding hiervan is de dreigingsinschatting verhoogd naar High/High, wat betekent dat zowel de kans op misbruik als de impact groot is. Microsoft bracht op 14 oktober beveiligingsupdates uit, maar deze bleken onvoldoende. Daarom is op 23 oktober een out-of-band noodpatch beschikbaar gesteld.

De kwetsbaarheid in WSUS stelt aanvallers in staat om via het update-mechanisme willekeurige code uit te voeren, wat ernstige gevolgen kan hebben voor de beveiliging van een organisatie. De impactscore van CVE-2025-59287 is 9,8 op een schaal van 10. Daarnaast is er publieke proof-of-conceptcode beschikbaar, wat het risico op misbruik verder vergroot.

Microsoft adviseert om de noodpatch zo snel mogelijk te installeren op de volgende Windows Server-versies: 2012, 2012 R2, 2016, 2019, 2022, 2022 (23H2 Edition – Server Core) en 2025. Tevens wordt benadrukt dat het niet gebruikelijk is om WSUS direct via het publieke internet toegankelijk te maken, omdat dit onnodige beveiligingsrisico’s met zich meebrengt. WSUS dient daarom alleen intern of via een beveiligde verbinding bereikbaar te zijn.

Voor organisaties die niet over de benodigde kennis beschikken om de patch te implementeren, is het raadzaam externe expertise in te schakelen. Kleine bedrijven kunnen tot 31 oktober 2025 gebruikmaken van een subsidieregeling die tot 50% van de kosten voor patchmanagementtools en -diensten vergoedt, waarmee de digitale weerbaarheid kan worden versterkt.