- Автор темы
- #1
Разработчики Microsoft выпустили внеплановые патчи для критической уязвимости в Windows Server Update Service (WSUS), для которой уже появился публичный proof-of-concept эксплоит. Проблема получила идентификатор CVE-2025-59287 и позволяет удаленно выполнить код на уязвимых серверах.
WSUS позволяет администраторам управлять и распространять обновления Windows на компьютеры внутри корпоративной сети. Подчеркивается, что баг затрагивает только серверы Windows с включенной ролью WSUS Server Role (эта функция по умолчанию отключена).
Уязвимость можно эксплуатировать удаленно, и такие атаки не требуют взаимодействия с пользователем. Удаленный неаутентифицированный атакующий может отправить специально подготовленное событие, которое запустит небезопасную десериализацию объектов в устаревшем механизме сериализации, что приведет к удаленному выполнению кода. В итоге злоумышленник без привилегий получает возможность выполнить вредоносный код с правами SYSTEM.
Это делает баг потенциально самораспространяющимся между WSUS-серверами — то есть он может работать как червь.
В отдельном бюллетене Microsoft сообщила, что WSUS больше не будет показывать детали ошибок синхронизации после установки этих или более поздних патчей — функциональность временно отключена для устранения уязвимости CVE-2025-59287.
По информации специалистов компании Eye Security, уже были обнаружены первые попытки сканирования и эксплуатации свежего бага. Системы как минимум одного из клиентов компании были скомпрометированы с использованием эксплоита, отличающегося от того, что появился в сети ранее.
Хотя WSUS-серверы обычно не доступны через интернет, Eye Security обнаружила около 2500 доступных экземпляров по всему миру.
Американская компания Huntress также предупреждает, что уже обнаружила свидетельства атак на CVE-2025-59287, нацеленных на инстансы WSUS с открытыми дефолтными портами (8530/TCP и 8531/TCP).
WSUS позволяет администраторам управлять и распространять обновления Windows на компьютеры внутри корпоративной сети. Подчеркивается, что баг затрагивает только серверы Windows с включенной ролью WSUS Server Role (эта функция по умолчанию отключена).
Уязвимость можно эксплуатировать удаленно, и такие атаки не требуют взаимодействия с пользователем. Удаленный неаутентифицированный атакующий может отправить специально подготовленное событие, которое запустит небезопасную десериализацию объектов в устаревшем механизме сериализации, что приведет к удаленному выполнению кода. В итоге злоумышленник без привилегий получает возможность выполнить вредоносный код с правами SYSTEM.
Это делает баг потенциально самораспространяющимся между WSUS-серверами — то есть он может работать как червь.
Microsoft подготовила обновления для всех затронутых версий Windows Server и призвала установить их как можно скорее. Патчи доступны для:
- Windows Server 2025 (KB5070881);
- Windows Server, версия 23H2 (KB5070879);
- Windows Server 2022 (KB5070884);
- Windows Server 2019 (KB5070883);
- Windows Server 2016 (KB5070882);
- Windows Server 2012 R2 (KB5070886);
- Windows Server 2012 (KB5070887).
В отдельном бюллетене Microsoft сообщила, что WSUS больше не будет показывать детали ошибок синхронизации после установки этих или более поздних патчей — функциональность временно отключена для устранения уязвимости CVE-2025-59287.
По информации специалистов компании Eye Security, уже были обнаружены первые попытки сканирования и эксплуатации свежего бага. Системы как минимум одного из клиентов компании были скомпрометированы с использованием эксплоита, отличающегося от того, что появился в сети ранее.
Хотя WSUS-серверы обычно не доступны через интернет, Eye Security обнаружила около 2500 доступных экземпляров по всему миру.
Американская компания Huntress также предупреждает, что уже обнаружила свидетельства атак на CVE-2025-59287, нацеленных на инстансы WSUS с открытыми дефолтными портами (8530/TCP и 8531/TCP).
В атаках, замеченных Huntress, злоумышленники выполняли PowerShell-команду для изучения внутреннего домена Windows, а затем данные отправлялись на вебхук. Эти данные включали вывод команд whoami (имя текущего пользователя), net user /domain (список всех учетных записей в домене Windows) и ipconfig /all (конфигурация сети для всех сетевых интерфейсов).