O vulnerabilitate critică (CVE-2025-59287) în serviciul de actualizare din Windows (WSUS – Windows Server Update Services) care a forțat Microsoft să lanseze patch-uri de urgență, este în prezent exploatată de atacatori.
Vulnerabilitatea are un scor de severitate de 9.8 și poate fi exploatată fără interacțiunea utilizatorului pentru execuție de cod de la distanță.
Problema provine din deserializarea nesigură în serviciile web de raportare ale WSUS, permițând unui atacator neautentificat să trimită cereri special elaborate și să execute cod arbitrar cu privilegii SYSTEM pe serverele vulnerabile.
Sunt afectate doar sistemele Windows Server care au activat rolul de server WSUS (Windows Server 2012, 2012 R2, 2016, 2019, 2022 și 2025).
Patch-ul inițial din actualizările Patch Tuesday de octombrie nu a rezolvat complet problema, Microsoft lansând joi, 23 octombrie, o actualizare de securitate de urgență.
Exploatare activă
Compania olandeză Eye Security a descoperit primele tentative de exploatare vineri dimineața, 24 octombrie, pe un server WSUS al unui client.
Eye Security raportează că a identificat aproximativ 2.500 de instanțe WSUS expuse la nivel mondial, inclusiv 250 în Germania și 100 în Olanda.
Conform scanărilor Shadowserver Foundation, în România sunt două astfel de servere, iar în Europa sunt 250 de servere expuse, cele mai multe fiind in Germania (72), Regatul Unit (32), Franța (24), și Țările de Jos (24).
Trebuie menționat că aceste servere nu trebuie expuse la internetul public.
Huntress, companie americană de securitate cibernetică, a observat atacuri începând cu joi, 23 octombrie, vizând instanțe WSUS expuse online cu porturile default (8530/TCP și 8531/TCP).
În atacurile detectate, actorii au executat comenzi PowerShell pentru recunoașterea domeniului Windows intern (whoami, net user /domain, ipconfig /all), datele fiind exfiltrate către un webhook.
Într-o alertă tehnică, și Bitdefender a confirmat cazuri de exploatare activă în care atacatorii se folosesc de CVE-2025-59287 pentru a executa comenzi prin procesele w3wp.exe sau wsusservice.exe.
Apoi descarcă payload-uri pentru etapa de recunoaștere și pentru a comunicarea stabilă cu server-ul de comandă și control (C2).
Acest acces inițial automatizat este caracteristic campaniilor ‘pre-ransomware’ și precede faza secundară de hacking operată manual (hands-on-keyboard).
La sfârșitul săptămânii trecute, compania HawkTrace Security a publicat un exploit demonstrativ pentru CVE-2025-59287 dar care nu permite execuția de comenzi arbitrare, pentru a nu încuraja atacurile.
Recomandări pentru administratori
Microsoft a clasificat CVE-2025-59287 ca având “Exploatare Mai Probabilă” și a lansat patch-uri specifice pentru toate versiunile afectate (KB5070881-KB5070887).
Agenția americană de securitate cibernetică (CISA) a adăugat vulnerabilitatea în catalogul de vulnerabilități exploatate (Known Exploited Vulnerabilities – KEV) pe 24 octombrie, solicitând agențiilor federale să implementeze patch-urile până pe 14 noiembrie.
Deși recomandările CISA sunt pentru agențiile federale, organizațiile private ar trebui să țină cont de aceste alerte pentru a-și îmbunătăți măsurile defensive.
În același sens, centrul național de securitate cibernetică din Țările de Jos (NCSCNL) a confirmat exploatarea activă de pe 24 octombrie.
Recomandarea principală este ca administratorii să instaleze ultimele actualizări de la Microsoft pentru CVE-2025-59287.
Dacă acest lucru nu este posibil, Microsoft îndeamnă administratorii să dezactiveze rolul de server WSUS, caz în care clienții nu vor mai primi actualizări.
De asemenea, compania recomandă blocarea din firewall a traficului către porturile 8530 și 8531 pentru a dezactiva serviciul WSUS.
Aceste măsuri nu trebuie modificate decât după instalarea actualizărilor de securitate care repară vulnerabilitatea CVE-2025-59287.
