en Kritisk sårbarhet i Windows Server Update Services (WSUS), identifisert som CVE-2025-59287, utnyttes av angripere til å kjøre kode eksternt og uten autentisering. Svakheten ligger i deserialisering av upålitelige data og har motivert den hastende publiseringen av out-of-band-patcher av Microsoft.
Uavhengige etterforskere og innsatsteam har bekreftet ondsinnet aktivitet i virkelige miljøer, med inntrengingsforsøk og kampanjer rettet mot nettverkstilgjengelige WSUS-servere. Organisasjoner i Europa og i Spania må de gi denne hendelsen høyeste prioritet for oppdatering på grunn av potensialet for massekompromittering av oppdateringsdistribusjonssystemet.
Hva som skjedde og hvorfor det er viktig
Feilen, sporet som CVE-2025-59287 (CVSS 9,8), lar en uautorisert, ekstern angriper kjøre kode med høye rettigheter ved å sende spesiallagde hendelser til WSUS-tjenesten. Microsoft publiserte bulletinen på nytt etter å ha bekreftet at den første oppdateringen reduserte ikke fullstendig problemet, og ga ut en out-of-band-rettelse for umiddelbar anvendelse.
Ifølge diverse bransjekilder, som Huntress, Horizon3.ai og trusselinformasjonsteam, er angrepsteknikken lav kompleksitet og med et offentlig tilgjengelig angrep har det blitt et attraktivt mål. Videre har det amerikanske cybersikkerhetsbyrået (CISA) lagt til feilen i sin katalog over utnyttede sårbarheter, noe som understreker hvor viktig det er med handling.
Hvordan sårbarheten fungerer
Kjernen i problemet er en usikker deserialisering i WSUS som kan utløses gjennom forespørsler til rollens egne webtjenester. I observerte scenarier forårsaker forespørslene WSUS-prosessen eller arbeidstaker fra IIS generere cmd.exe og PowerShell, muliggjør utførelse av nyttelaster.
Tekniske undersøkelser tyder på at håndteringen av autorisasjonsinformasjonskapsler på et spesifikt inngangspunkt, hvor krypterte data (f.eks. med AES-128-CBC) dekrypteres og deserialiseres uten typevalidering ved hjelp av eldre mekanismer. Dette åpner døren for RCE med SYSTEM-rettigheter hvis serveren er tilgjengelig.
Berørte versjoner og tilgjengelighet av oppdateringer
Microsoft har gitt ut oppdateringer utenfor båndet for Windows Server 2012, 2012 R2, 2016, 2019, 2022 (inkludert 23H2 Server Core) og Windows Server 2025En systemomstart er nødvendig etter at oppdateringen er installert for å fullføre avbøtingen.
Det er viktig å merke seg det er ikke berørt Servere som ikke har WSUS-rollen aktivert. For de som ikke kan oppdatere umiddelbart, foreslår selskapet midlertidige tiltakDeaktiver rollen eller blokker innkommende trafikk til portene 8530/8531 på vertsbrannmuren.
Utnyttelse i Europa: kronologi og observerte kampanjer
Europeiske myndigheter og leverandører har bekreftet tegn på utnyttelse. NCSC i Nederland rapporterte overgrep observert 24. oktober, basert på informasjon fra en betrodd partner, mens Tysk BSI advart om konsekvensene hvis angriperen når det interne nettverket eller hvis det oppstår segmenteringsfeil.
Firmaet Eye Security rapporterte at tusenvis av eksponerte tilfeller på Internett, inkludert hundrevis i Tyskland og rundt hundre i Nederland. I flere tilfeller sendte motstandere POST-forespørsler til WSUS-webtjenester for å aktivere deserialisering og starte en kjede med gjenkjenningskommandoer.
Risikoer for organisasjoner og potensielle konsekvenser
Å kompromittere en WSUS-server lar en angriper bevege seg sidelengs og eskalere privilegier, med den ekstra risikoen for å manipulere distribusjonen av oppdateringer. Analytikere fra diverse selskaper advarer om en mulig angrep på den interne forsyningskjeden hvis ondsinnede binærfiler distribueres som legitime oppdateringer.
I etterforskede hendelser ble det observert PowerShell og cmd.exe kjøre kommandoer for å identifisere brukere, liste opp domenekontoer og trekke ut nettverkskonfigurasjon, med eksfiltrering til eksterne endepunkter kontrollert av angriperne.
Anbefalinger for umiddelbare tiltak
For miljøer i Spania og resten av Europa anbefales det å prioritere umiddelbar utrulling av out-of-band-patchen på alle servere med WSUS-rollen. Hvis oppdatering ikke er umiddelbart mulig, iverksett tiltak og planlegg for vedlikeholdsvinduet så snart som mulig.
- Oppgradering til de korrigerte versjonene og start serveren på nytt.
- Midlertidig deaktivering WSUS-rollen hvis den ikke er kritisk på det tidspunktet.
- blokkere på vertsbrannmurportene 8530/8531 (ikke bare på perimeteret).
- Begrens eksponering fra WSUS til det interne nettverket og gjennomgå segmenteringen.
Ikke angre noen av disse provisoriske tiltak inntil installasjonen av oppdateringen er fullført. Det er også lurt å gjennomgå angrepsflaten: WSUS bør ikke offentlig eksponert på internett
Indikatorer og tegn å se opp for
I aktivitet observert av forskjellige lag, søkte angriperne domenegjenkjenning og nettverksmiljøet, med utførelse av kommandoer som whoami, net user /domain og ipconfig /all og sending av resultater til eksterne webhooks.
Gjennomgå IIS/WSUS-logger for flere feil uvanlige POST-kall til webtjenester, utseendet til underprosesser av arbeidstaker fra IIS (w3wp.exe) eller fra WSUS (wsusservice.exe), og PowerShell laster inn i Base64 initiert av disse prosessene.
Hva er WSUS, og hvorfor er det et attraktivt mål?
WSUS lar administratorer sentralisere og kontrollere Microsoft-produktoppdateringer på bedriftsnettverk. Den pålitelige rollen gjør den til en enkeltpunkt med høy effektVed å kompromittere den kan en angriper i stillhet påvirke et stort antall datamaskiner.
På grunn av sin natur og ofte får ikke den samme oppmerksomheten I motsetning til andre eksponerte systemer kan WSUS være utdatert eller dårlig segmentert. Dette, kombinert med en lavkompleks utnyttelse, øker risikoen for operasjonell risiko.
Kombinasjonen av en kritisk sårbarhet med offentlige konseptbevis, utnyttelse allerede oppdaget, og en overflate som noen ganger er mer åpen enn anbefalt krever rask handling: påfør lappene, nære eksponeringsvektorer og øke årvåkenheten på WSUS-servere mens bølgen av forsøk varer.
