Windows-Schwachstellen: Europäische Regierungen im Visier
Chinesische Hacker greifen europäische Diplomatenmissionen an
Gleich drei schwerwiegende Sicherheitslücken in Microsoft-Systemen alarmieren derzeit Cybersicherheitsexperten weltweit. Während chinesische Hacker über eine noch ungepatchte Windows-Schwachstelle europäische Diplomaten ausspähen, nutzen Kriminelle eine kritische Lücke in Windows Server Update Services für Datendiebstahl. Als Reaktion veröffentlichten US-Behörden umfassende Sicherheitsrichtlinien für Exchange Server.
Die Häufung der Vorfälle zeigt: Windows-Administratoren kämpfen an mehreren Fronten gleichzeitig gegen eine sich rasant entwickelnde Bedrohungslandschaft.
Das Cybersicherheitsunternehmen Arctic Wolf deckte eine ausgeklügelte Spionagekampagne der China-nahen Hackergruppe UNC6384 auf. Zwischen September und Oktober 2025 griffen die Angreifer diplomatische Vertretungen und Regierungsorganisationen in Ungarn, Belgien, Italien und den Niederlanden sowie serbische Behörden an.
Die Attacken nutzen eine bislang unbekannte Schwachstelle in der Windows-Verarbeitung von Verknüpfungsdateien (.LNK). Diese als CVE-2025-9491 katalogisierte Zero-Day-Lücke ermöglicht es, die gefährliche PlugX-Malware einzuschleusen – einen Remote-Access-Trojaner mit weitreichenden Kontrollbefugnissen.
Das Vorgehen folgt einem raffinierten Muster: Gezielt formulierte Spear-Phishing-E-Mails locken Diplomaten auf schädliche Links. Diese aktivieren eine komplexe Angriffskette, die über PowerShell-Befehle die PlugX-Malware installiert. Die Software kann Tastatureingaben protokollieren, Dateien einsehen und sensible Daten stehlen.
Bemerkenswert ist die Anpassungsfähigkeit der Angreifer: Innerhalb weniger Wochen schrumpften sie ihre Malware von 700 KB auf nur 4 KB, um Sicherheitssysteme besser zu umgehen. Microsoft hat bislang noch keinen Patch veröffentlicht.
Anzeige: Während Windows-Admins Patches einspielen und Phishing abwehren, bleibt das Smartphone oft das übersehene Einfallstor. Diese 5 praxistauglichen Maßnahmen machen Ihr Android in Minuten spürbar sicherer – ganz ohne teure Zusatz-Apps. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und Shopping vor Datendieben schützen. Jetzt kostenloses Sicherheitspaket anfordern
Kriminelle stürzen sich auf Windows-Server-Schwachstelle
Parallel dazu nutzen Cyberkriminelle eine kritische Sicherheitslücke in Windows Server Update Services (WSUS) aus. Die als CVE-2025-59287 bezeichnete Schwachstelle ermöglicht die Fernausführung von Code – ein Albtraum für jeden Systemadministrator.
Die Situation verschärfte sich, als sich Microsofts ursprünglicher Patch vom Oktober als unvollständig erwies. Zwar veröffentlichte das Unternehmen am 23. Oktober ein Notfall-Update, doch das Zeitfenster nutzten Angreifer gnadenlos aus.
Bereits einen Tag später, am 24. Oktober, begann eine weltweite Angriffswelle. Kriminelle durchkämmen das Internet systematisch nach anfälligen WSUS-Servern. Bestätigte Opfer sind Universitäten, Technologieunternehmen und Gesundheitseinrichtungen, vorwiegend in den USA.
Die US-Cybersicherheitsbehörde CISA reagierte prompt und stufte die Schwachstelle als “Known Exploited Vulnerability” ein – ein klares Signal für Bundesbehörden, sofort zu handeln.
Neue Sicherheitsrichtlinien für Exchange Server
Als Reaktion auf die anhaltenden Angriffe auf Unternehmens-E-Mail-Systeme veröffentlichten CISA und die National Security Agency (NSA) am 30. Oktober umfassende Sicherheitsrichtlinien für Microsoft Exchange Server. Die Behörden warnen eindringlich: Ungeschützte oder falsch konfigurierte Exchange-Instanzen stehen vor einer unmittelbaren Kompromittierung.
Die neuen Empfehlungen gehen weit über einfache Patch-Verwaltung hinaus. Im Zentrum steht eine Zero-Trust-Sicherheitsarchitektur mit mehrschichtiger Verteidigung. Kernpunkte sind beschränkte Administratorzugänge, Mehrfaktor-Authentifizierung und starke Verschlüsselung.
Besonders brisant: Der Support für ältere Exchange-Versionen endete am 14. Oktober 2025. Organisationen, die weiterhin veraltete Systeme nutzen, gehen ein erhebliches Sicherheitsrisiko ein.
Was Administratoren jetzt tun müssen
Die nächsten Tage werden entscheidend. Sofortige Priorität hat die Installation des Notfall-Patches für die WSUS-Schwachstelle CVE-2025-59287. Anschließend sollten Administratoren nach Kompromittierungszeichen suchen – etwa ungewöhnliche Prozesse, die von WSUS-Diensten gestartet wurden.
Für die ungepatchte Windows-Schwachstelle CVE-2025-9491 gilt erhöhte Wachsamkeit: Nutzeraufklärung intensivieren und E-Mail-Verkehr genau überwachen, besonders verdächtige Links oder Anhänge.
Langfristig führt kein Weg an einer grundlegenden Sicherheitsstrategie-Überholung vorbei. Die CISA-Richtlinien zeigen den Weg: weg von veralteten Systemen und flachen Netzwerken, hin zu moderner Zero-Trust-Architektur.
Denn eines ist klar: In einer Welt, in der Angreifer innerhalb von Stunden öffentliche Schwachstellen in globale Angriffswaffen verwandeln, reicht reaktive Sicherheit nicht mehr aus. Nur kontinuierliche Wachsamkeit und proaktive Härtung bieten noch wirksamen Schutz.
