Monthly Threat Report November 2025

Einleitung

Der Monthly Threat Report von Hornetsecurity liefert Ihnen monatlich Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen und Kommentare zu aktuellen Ereignissen im Bereich Cybersicherheit. Diese Ausgabe des Monthly Threat Reports konzentriert sich auf Vorfälle aus der Branche im Oktober 2025.

Executive Summary

• WSUS wird aktiv ausgenutzt – Eine kritische Sicherheitslücke in Windows Server Update Services (WSUS) (CVE-2025-59287) wird aktiv ausgenutzt und ermöglicht die Remote-Ausführung von Code mit SYSTEM-Rechten. Die US-Behörde CISA hat eine Notfallrichtlinie herausgegeben, die sofortiges Patchen in allen Bundesnetzwerken vorschreibt.
• F5 Networks Sicherheitsvorfall – Angreifer haben Teile des BIG-IP-Quellcodes sowie interne Informationen zu Sicherheitslücken von F5 Networks gestohlen, was Gegnern tiefe Einblicke in Produktdetails verschaffen und die Entwicklung von Exploits beschleunigen könnte.
• Zero-Day-Schwachstellen bei Microsoft und VMware – Beim Patch Tuesday im Oktober wurden mehrere aktiv ausgenutzte Sicherheitslücken in Windows- und VMware-Produkten geschlossen. Solche Vorfälle verdeutlichen erneut den Handlungsdruck: Wer nicht patcht, riskiert den Ausfall („Patch or Perish“).
• Zunahme von TLD-Missbrauch – Bedrohungsakteure nutzen zunehmend exotische Domain-Endungen wie .zip, .app, and .mov, um Sicherheitsfilter zu umgehen und Phishing- oder Malware-Kampagnen unter dem Anschein von Legitimität zu verbreiten.
• Die wachsende Rolle der KI in der Cybersicherheit – Künstliche Intelligenz verändert weiterhin Angriff und Verteidigung. Während sie Verteidigern hilft, Bedrohungen schneller zu erkennen und Abläufe zu automatisieren, befähigt sie gleichzeitig Angreifer, komplexere und überzeugendere Kampagnen durchzuführen.

Bedrohungsübersicht

Wie Angreifer exotische Top-Level-Domains (TLDs) in Angriffen nutzen

Verteidiger befinden sich in einem ständigen Wettlauf, um mit den Taktiken, Techniken und Vorgehensweisen der Angreifer Schritt zu halten. In letzter Zeit beobachten wir eine subtile, aber zunehmend relevante Entwicklung Bereich Phishing und Malware: den wachsenden Missbrauch „exotischer“ Top-Level-Domains (TLDs). In diesem Monat wollten wir beleuchten, wie Bedrohungsakteure diese weniger gebräuchlichen Domain-Endungen ausnutzen. Typischerweise handelt es sich um Domains, die auf Folgendes enden: .app, .zip, .lol, .cam und dutzende weitere. Ziel ist es, Filter zu umgehen und Endbenutzer zu täuschen. Viele dieser TLDs sind relativ neu, günstig zu registrieren oder wurden ursprünglich für spezielle Branchenzwecke vorgesehen. Aufgrund schwacher Kontrolle seitens der Domain-Registrare und der optischen Vertrauenswürdigkeit, die sie durch bekannte Markennamen suggerieren, sind sie zu einem beliebten Mittel für bösartige Kampagnen geworden.

Diese Taktik funktioniert, weil Nutzer Domain-Endungen kaum beachten und Sicherheitslösungen, die auf veralteten Reputationsdatenbanken basieren, neue Domains oft erst verspätet erkennen. Angreifer registrieren massenhaft täuschend echt aussehende Domains auf kurzlebiger Infrastruktur und versehen sie mit überzeugenden SSL-Zertifikaten, um seriös zu erscheinen. Das Ergebnis ist ein nahezu perfekter Verteilermechanismus für Phishing, Diebstahl von Zugangsdaten und Drive-by-Malware. Verteidiger müssen daher kontinuierlich ihre Domain-Intelligence-Feeds aktualisieren, strenge Richtlinien für URL-Umschreibung und -Scanning durchsetzen und Benutzer darin schulen, kritisch zu hinterfragen, was sich hinter einem neuen .zip-Link verbirgt. Denn beim Missbrauch von TLDs ist Unauffälligkeit zur besten Waffe von Angreifern geworden.

Die Auswirkungen von KI auf die Cybersicherheit

Es besteht kein Zweifel daran, dass Künstliche Intelligenz die Cybersicherheitsbranche ebenso tiefgehend beeinflusst hat wie viele andere Branchen. Schon seit längerer Zeit diskutieren wir in unseren verschiedenen Publikationen, wie KI die Sicherheitslandschaft verändert. Auch wenn der anfängliche Hype um KI inzwischen abgeebbt ist, lassen sich weiterhin Entwicklungen und Auswirkungen auf die aktuellen Abläufe in Sicherheitsteams beobachten.

In einem aktuellen Artikel auf dem Hornetsecurity-Blog, Die Auswirkungen von KI auf die Cybersicherheit von Paul Schnackenburg, wird untersucht, wie Künstliche Intelligenz sowohl die defensive als auch die offensive Seite der Cybersicherheitslandschaft neu formt. Einerseits wird KI zu einem Faktor, der die Leistungsfähigkeit von Verteidigern vervielfacht, indem sie eine intelligentere Erkennung, schnellere Triage-Prozesse und bessere Mustererkennung in riesigen Datensätzen ermöglicht. Sie hilft Sicherheitsteams dabei, die Reaktion auf Vorfälle zu automatisieren und Störsignale zu reduzieren, insbesondere in komplexen Cloud- und E-Mail-Umgebungen, in denen herkömmliche Tools oft an ihre Grenzen stoßen.

Andererseits verleiht dieselbe Technologie auch Angreifern neue Stärke. KI senkt die Einstiegshürde für Phishing, Deepfakes und Social-Engineering-Kampagnen und erhöht gleichzeitig Reichweite und Glaubwürdigkeit solcher Bedrohungen. Der Artikel warnt, dass Angreifer generative Tools und Large Language Models (LLMs) genauso schnell für ihre Zwecke einsetzen werden, wie Verteidiger sie implementieren. Eine zentrale Erkenntnis: Organisationen müssen KI nicht nur sicher einsetzen, sondern auch ihre Richtlinien, Governance-Strukturen und das Bewusstsein der Nutzer entsprechend stärken. In der neuen Bedrohungslandschaft ist KI nicht nur Teil der Verteidigung – sie ist auch Teil der Angriffsfläche.

Bedrohungsübersicht und Branchenereignisse

WSUS-Schwachstelle wird aktiv in der Praxis ausgenutzt

Der Oktober zwang Administratoren zum schnellen Patchen, nachdem bekannt wurde, dass eine kritische Windows Server Update Services (WSUS)-Schwachstelle aktiv ausgenutzt wird: CVE-2025-59287. Die Sicherheitslücke ermöglicht die Ausführung von Remote-Code mit SYSTEM-Rechten auf WSUS-Servern, die als Updatequellen konfiguriert sind, und gibt Angreifern damit volle Kontrolle über das jeweilige System. Microsoft veröffentlichte Anfang Oktober den entsprechenden Patch. Nur wenig später reagierte die CISA mit einer Notfall-Richtlinie, die alle US-Bundesbehörden verpflichtete, anfällige WSUS-Rollen innerhalb von 48 Stunden zu patchen oder zu deaktivieren. Erste Hinweise auf eine aktive Ausnutzung wurden in opportunistischen Angriffen auf öffentlich zugängliche WSUS-Endpunkte beobachtet.

Die eigentliche Gefahr liegt in der Rolle von WSUS als Knotenpunkt der Windows-Patchverwaltung in Unternehmen. Wird ein WSUS-Server kompromittiert, kann ein Angreifer potenziell seine Aktivitäten auf das gesamte Netzwerk ausweiten. Der Fall erinnert an klassische Supply-Chain-Angriffe, wie sie vor Jahren bei SolarWinds beobachtet wurden. Wer WSUS in einer hybriden Umgebung betreibt oder offene eingehende Ports nutzt, sollte jetzt Segmentierung prüfen, Patches ausrollen und die Integrität von Update-Signaturen verifizieren. Diese Schwachstelle sollte als höchste Priorität behandelt werden, da die Gefahr für die gesamte Infrastruktur steigt, sobald der Patch-Management-Server kompromittiert ist.

F5-Datenleck legt BIG-IP-Quellcode und Schwachstelleninformationen offen

Ende Oktober bestätigte F5 Networks einen Sicherheitsvorfall, bei dem Angreifer Teile des BIG-IP-Quellcodes, interne Schwachstellenforschung und Threat-Intelligence-Dokumentationen entwenden konnten. Laut F5 war ein kompromittiertes Entwicklerkonto, das mit einer exponierten GitLab-Instanz verknüpft war, der Ausgangspunkt des Angriffs. Dies ist ein klassisches Beispiel dafür, warum privilegierte Code-Repositories mit MFA und strengen Zugriffskontrollen geschützt werden müssen. F5 erklärte, dass keine Kundendaten oder Produktionssysteme betroffen waren, jedoch könnten die offengelegten Informationen fortgeschrittenen Bedrohungsakteuren wertvolle Einblicke in bisher unbekannte Schwachstellen und Produktdetails geben und so das Zeitfenster zwischen Entdeckung und Ausnutzung verkürzen.

Für Unternehmen, die BIG-IP für Load-Balancing oder Perimetersicherheit einsetzen, sind die Auswirkungen gravierend. Der Diebstahl von Quellcode bedeutet, dass Angreifer mit vollständiger Einsicht in Speicher- und Authentifizierungsprozesse gezielt nach verwertbaren Schwachstellen suchen können. Selbst wenn kurzfristig keine Exploits auftreten, ist in den kommenden Monaten mit einer Zunahme von Scanning- und Fuzzing-Aktivitäten gegen F5-Anwendungen zu rechnen. Organisationen sollten sicherstellen, dass sie die neueste Firmware verwenden, Zugriffe auf Management-Interfaces überwachen und ihre Segmentierungsstrategien überprüfen. Denn wenn die Infrastruktur Ihres Security-Anbieters preisgegeben wird, vergrößert sich automatisch Ihre eigene Angriffsfläche.

Weitere bedeutende Zero-Day-Exploits und der Patch-Marathon

Der Patch Tuesday im Oktober war geschäftiger und dringlicher als üblich. Microsoft veröffentlichte Korrekturen für eine Vielzahl von Problemen, darunter mehrere Zero-Day-Schwachstellen, die bereits aktiv ausgenutzt wurden (insbesondere CVE-2025-24990 und CVE-2025-59230). Wenn Zero-Days bereits in Telemetriedaten auftauchen, bevor die meisten Organisationen überhaupt die Sicherheitswarnung verarbeitet haben, beginnt ein verzweifelter Wettlauf: Notfall-Patching, Notfall-Tests und Notfall-Rollbacks, sobald unvermeidlich etwas schiefgeht. Die praktische Realität für Verteidiger ist unangenehm, aber klar: Patches gegen aktiv ausgenutzte Schwachstellen müssen unmittelbar eingespielt werden, auch wenn das Wochenendschichten bedeutet.

Zusätzlich erschwerte ein VMware-bezogener Zero-Day (CVE-2025-41244) im Zusammenhang mit Aria/VMware Tools den Monat. Beobachtet wurde der Exploit in den Händen eines hochentwickelten Angreifers, was die Lage speziell für Cloud- und Virtualisierungsteams verschärft. Die kombinierte Lektion: Beschleunigen Sie die Bereitstellung von Patches für öffentlich zugängliche Systeme und Management-Komponenten, aber handeln Sie dabei nicht leichtfertig. Organisationen müssen schnelle Rollouts mit ausgleichenden Kontrollen kombinieren, um neue Risiken zu vermeiden. Wenn ein sofortiges Patchen nicht möglich ist, sollten virtuelle Patches eingesetzt werden (z. B. WAF-Regeln, IPS-Signaturen), Zugriffe auf Management-Interfaces beschränkt werden (etwa über VPN, ZTNA und MFA), EDR/XDR-Telemetrie zur Erkennung von Post-Exploit-Aktivitäten verstärkt und Anmeldeverhalten oder laterale Bewegungen genau überwacht werden. Kurz gesagt: Patchen Sie schnell, aber mit Bedacht, denn Angreifer betrachten ungepatchte Netzwerke längst als leichte Beute.

Prognosen für die kommenden Monate

• Zunahme des Missbrauchs von TLDs – Es ist mit einem weiteren Anstieg von Phishing- und Malware-Kampagnen zu rechnen, die ungewöhnliche Domain-Endungen wie .zip, .app und .mov nutzen. Während Browseranbieter ihre Schutzmechanismen auf Anwendungsebene verbessern, werden Angreifer ihre Domain-Registrierungen diversifizieren, um Filtersystemen einen Schritt voraus zu sein.
• KI-getriebenes Phishing entwickelt sich schneller – Generative KI-Tools senken weiterhin die Einstiegshürde für Bedrohungsakteure und ermöglichen skalierbare, mehrsprachige und hochgradig personalisierte Phishing-Kampagnen, die traditionelle Erkennungsmethoden umgehen.
• Patch-Infrastruktur wird zum Ziel – Nach der Ausnutzung von WSUS ist zu erwarten, dass Angreifer künftig Systeme zur Patch-Verwaltung und Update-Verteilung ins Visier nehmen – insbesondere um sich im Netzwerk lateral auszubreiten.
• Quellcode-Leaks treiben die Entwicklung von Exploits an – Der F5-Vorfall verdeutlicht einen aufkommenden Trend: Die Offenlegung von Quellcode führt zu einer beschleunigten Exploit-Entwicklung. Ähnliche Vorfälle bei anderen Anbietern sind zu erwarten, da Angreifer von Ransomware auf Diebstahl von Forschungsergebnissen umsteigen.

Monatliche Empfehlungen

• Priorisieren Sie kritische Patch-Zyklen – Patchen Sie WSUS sofort und überprüfen Sie die Segmentierung zwischen Management- und Produktionsnetzwerken. Wenden Sie die Sicherheitsupdates von Microsoft, VMware und F5 aus Oktober ohne Verzögerung an.
• Sichern Sie die Update-Infrastruktur ab – Beschränken Sie den eingehenden Zugriff auf WSUS und andere Patch-Management-Systeme. Setzen Sie TLS, signierte Updates und Auditing ein, um unautorisierte Inhaltsinjektionen zu verhindern.
• Überwachen Sie F5-Scanning-Aktivitäten – Nutzen Sie die aktuelle Firmware, beschränken Sie Verwaltungsoberflächen und prüfen Sie Netzwerkprotokolle auf Fingerprinting oder Enumerationsversuche gegen BIG-IP-Endpunkte.
• Überprüfen Sie Domain-Intelligence-Feeds – Nutzen Sie Bedrohungsdatenquellen, die neue und aufkommende TLDs enthalten. Setzen Sie URL-Rewriting und Sandboxing von Hornetsecurity ein, um den Vorteil exotischer Domains zu neutralisieren.
• Bauen Sie Phishing-Awareness-Trainings aus – Arbeiten Sie mit realen Beispielen für den Missbrauch exotischer TLDs und KI-generierter Phishing-Inhalte, um Endbenutzer über moderne Social-Engineering-Taktiken aufzuklären.
• Wenden Sie virtuelle Patches und ausgleichende Kontrollen an – Nutzen Sie bei nicht sofortigem Patchen WAF-Regeln, Intrusionssignaturen und Mikrosegmentierung, um Zeit zu gewinnen, ohne kritische Systeme zu gefährden.
• Erweitern Sie Threat Hunting auf Supply-Chain-Risiken – Überwachen Sie Update-Verteilungssysteme, Artefakt-Repositories und CI/CD-Pipelines proaktiv auf Anomalien, die auf Manipulationen oder Missbrauch von Zugangsdaten hinweisen könnten.

---

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.