а Критична уязвимост в услугите за актуализиране на Windows Server (WSUS), идентифициран като CVE-2025-59287, се използва от нападателите за дистанционно изпълнение на код без удостоверяване. Слабостта се крие в десериализация на ненадеждни данни и е мотивирало спешното публикуване на пачове извън лентата от Microsoft.
Независими следователи и екипи за реагиране са потвърдили злонамерена дейност в реални среди, с опити за проникване и кампании, насочени към WSUS сървъри, достъпни през мрежата. Организации в Европа и в Испания трябва да дадат на този инцидент най-висок приоритет за кръпки поради потенциала за масово компрометиране на системата за разпространение на актуализации.
Какво се случи и защо е важно
Разломът, проследен като CVE-2025-59287 (CVSS 9,8), позволява на неудостоверен, отдалечен хакер да изпълнява код с високи привилегии, като изпраща специално създадени събития до услугата WSUS. Microsoft преиздаде бюлетина, след като провери, че първоначалната актуализация не смекчи напълно проблема и пусна решение извън обхвата за незабавно приложение.
Според различни източници от индустрията, като Huntress, Horizon3.ai и екипи за разузнаване на заплахи, техниката на атака е ниска сложност и, с публично достъпна експлойт, тя се превърна в желана цел. Освен това, Агенцията за киберсигурност на САЩ (CISA) добави недостатъка към своите каталог на експлоатирани уязвимости, което подчертава неотложността на действията.
Как работи уязвимостта
Същността на проблема е опасна десериализация в WSUS, които могат да бъдат задействани чрез заявки към собствените уеб услуги на ролята. В наблюдаваните сценарии заявките причиняват WSUS процеса или работник от IIS генерира cmd.exe и PowerShell, позволяване на изпълнението на полезни товари.
Техническите разследвания показват, че боравенето с бисквитки за оторизация в специфична входна точка, където криптираните данни (напр. с AES-128-CBC) се дешифрират и десериализират без валидиране на типа, използвайки наследени механизми. Това отваря вратата към RCE със системни привилегии ако сървърът е достъпен.
Засегнати версии и наличност на корекции
Microsoft пусна актуализации извън обхвата за Windows Server 2012, 2012 R2, 2016, 2019, 2022 (включително 23H2 Server Core) и Windows Server 2025След инсталиране на корекцията е необходимо рестартиране на системата, за да се завърши смекчаването на проблема.
Важно е да се отбележи това не са засегнати Сървъри, на които не е активирана ролята на WSUS. За тези, които не могат да актуализират веднага, компанията предлага временни меркиДеактивирайте ролята или блокирайте входящия трафик към портове 8530/8531 на защитната стена на хоста.
Експлоатация в Европа: хронология и наблюдавани кампании
Европейските власти и доставчиците потвърдиха признаци на експлоатация. NCSC на Нидерландия докладвани злоупотреби, наблюдавани на 24 октомври, въз основа на информация от доверен партньор, докато Немски BSI предупреден за въздействието, ако атакуващият достигне вътрешната мрежа или ако има грешки в сегментирането.
Фирмата Eye Security съобщи, че хиляди разкрити случаи в интернет, включително стотици в Германия и около сто в Холандия. В няколко случая противниците изпратиха POST заявки към WSUS уеб услуги за активиране на десериализация и стартиране на верига от команди за разпознаване.
Рискове за организациите и потенциални въздействия
Компрометирането на WSUS сървър позволява на нападателя преместете се странично и ескалирайте привилегиите, с допълнителен риск от манипулиране на разпространението на актуализации. Анализатори от различни компании предупреждават за евентуално атака срещу вътрешната верига за доставки ако злонамерени двоични файлове се внедряват като легитимни пачове.
При разследваните инциденти е наблюдавано PowerShell и cmd.exe изпълняване на команди за идентифициране на потребители, изброяване на домейн акаунти и извличане на мрежова конфигурация, с ексфилтрация към отдалечени крайни точки контролирани от нападателите.
Незабавни препоръки за смекчаване на последиците
За среди в Испания и останалата част от Европа се препоръчва да се даде приоритет на спешно внедряване на извънбяговия пач на всички сървъри с ролята на WSUS. Ако актуализирането не е незабавно осъществимо, приложете мерки за смекчаване на проблемите и планирайте периода за поддръжка възможно най-скоро.
- Подобряване на към коригираните версии и рестартирайте сървъра.
- Временно деактивиране ролята на WSUS, ако не е критична в момента.
- блок на портовете 8530/8531 на защитната стена на хоста (не само по периметъра).
- Ограничете експозицията от WSUS към вътрешната мрежа и преглед на сегментирането.
Не отменяйте нито едно от тези действия временни мерки докато инсталирането на корекцията не завърши. Също така е добра идея да прегледате повърхността за атака: WSUS не трябва да бъде публично изложен в интернет
Индикатори и знаци, за които да внимавате
При активност, наблюдавана от различни екипи, нападателите са се стремили разпознаване на домейн и мрежовата среда, с изпълнение на команди като whoami, net user /domain и ipconfig /all и изпращане на резултатите до отдалечени уебкуки.
Преглед на регистрационните файлове на IIS/WSUS за множество грешки необичайни POST обаждания към уеб услуги, появата на дъщерни процеси на работник от IIS (w3wp.exe) или от WSUS (wsusservice.exe) и PowerShell се зарежда в Base64 инициирани от тези процеси.
Какво е WSUS и защо е привлекателна цел?
WSUS позволява на администраторите да централизира и контролира Актуализации на продукти на Microsoft в корпоративни мрежи. Неговата надеждна роля го прави единична точка с високо въздействиеЧрез компрометирането му, нападателят може незабелязано да засегне голям брой компютри.
Поради своята природа и често не получава същото внимание За разлика от други изложени системи, WSUS може да е остарял или лошо сегментиран. Това, в комбинация с експлойт с ниска сложност, значително увеличава риска от операционен риск.
Комбинацията от критична уязвимост с публични доказателства за концепция, вече открита експлоатация и повърхност, която понякога е по-отворена от препоръчителното, изисква бързи действия: нанесете лепенките, затворете векторите на експозиция и увеличете бдителността на WSUS сървърите, докато трае вълната от опити.
