Microsoft har udgivet en sikkerhedsopdatering uden for båndet for at løse CVE-2025-59287, en kritisk sårbarhed i forbindelse med fjernudførelse af kode i Windows Server Update Services (WSUS), der allerede udnyttes. Virksomheden anbefaler at installere programrettelsen uden forsinkelse, da den oprindelige programrettelse fra Patch Tuesday ikke fuldt ud afhjælpede problemet.
WSUS bruges til distribuer Microsoft-opdateringer Inden for virksomhedsnetværk tillader denne fejl en uautoriseret angriber at udføre kode på den sårbare server blot ved at sende specialfremstillede anmodninger uden brugerinteraktion. I Europa har flere organisationer udsendt meddelelser, og der er observeret faktiske indtrængningsforsøg.
Hvad er WSUS, og hvorfor er det i søgelyset?
WSUS fungerer som et lokalt programrettelseslager for alle computere i en organisation, hvor det downloader og omdistribuerer programrettelser. Windows-opdateringer og andre produkterKun servere med WSUS-rollen aktiveret er i farezonen. Som standard er denne funktion ikke aktiveret på Windows Server.
Ved at kontrollere WSUS kunne en angriber push ondsindede opdateringer over for interne kunder og opnår en privilegeret position til at bevæge sig sidelæns og manipulere konfigurationen af flere systemer.
Hvordan CVE-2025-59287 materialiserer sig
Fejlen ligger i usikker datadeserialisering i WSUS-webtjenester. En specielt udformet hændelse eller anmodning kan fremtvinge deserialisering af objekter, der ikke er tillid til, hvilket resulterer i kodeudførelse med forhøjede (SYSTEM) rettigheder, ingen godkendelse og lav kompleksitet.
Tekniske undersøgelser peger på en ældre serialiseringsmekanisme og håndtering af godkendelsescookies i en WSUS-slutpunkt, hvor krypteret indhold deserialiseres uden korrekt typevalidering. Eksperter har også advaret om, at fejlen kan være "ormelig"mellem forbundne sårbare WSUS-servere.
Ondsindet aktivitet registreret og advarsler
En PoC er blevet offentliggjort og er blevet set gårde i virkelige miljøer Få dage senere bekræftede den hollandske NCSC de observerede misbrug den 24. oktober, og CISA tilføjede fejlen til sit katalog over udnyttede sårbarheder (KEV'er), der kræver afhjælpning fra den amerikanske føderale regering.
Sikkerhedsvirksomheder har opdaget angreb, der udnytter WSUS eksponeret på port 8530/8531, der udsteder anmodninger til webtjenester om at udløse deserialisering og udføre PowerShell eller cmd.exe under IIS-processen eller selve WSUS-tjenesten. Netværksrekognoscering, domænebrugerliste og eksfiltrering af resultater til webhooks blev observeret i flere hændelser.
Den tyske regulator BSI forklarede, at risikoen fra internettet burde være lav, hvis WSUS er godt segmenteret og står bag en perimeter firewallMen hvis der var en fejlkonfiguration eller tidligere adgang til det interne netværk, ville det at tage kontrol over WSUS-serveren give angrebet mulighed for at sprede sig til andre tjenester og distribuere skadelige artefakter.
Branchekilder har identificeret tusindvis af tilgængelige instanser med standardporte åbne; selvom ikke alle vil være sårbare, øger mulighedsvinduet før implementering af programrettelsen risikoen for europæiske og spanske organisationer med eksponerede WSUS.
Berørte versioner og tilgængelighed af patches
Problemet påvirker Windows Server med WSUS-rolle aktiveret på understøttede versioner: 2012, 2012 R2, 2016, 2019, 2022 (inklusive 23H2 Server Core) og 2025. Servere, der ikke bruger WSUS, påvirkes ikke af CVE-2025-59287.
Efter at have fundet ud af, at den oprindelige rettelse ikke var komplet, udgav Microsoft en rettelse den 23. oktober. kumulativ opdatering uden for båndet (kræver en genstart), der erstatter tidligere programrettelser. På Windows Server 2019 blev KB5070883 f.eks. udgivet med specifikke rettelser til WSUS Reporting Web Services.
Hasteforanstaltninger og praktiske afbødende foranstaltninger
Hvis øjeblikkelig opdatering ikke er mulig, anbefaler Microsoft deaktiver midlertidigt WSUS-rollen eller blokere indgående trafik til port 8530 og 8531 på værtens firewall, hvilket gør WSUS ubrugelig, før opdateringen er fuldført. Det anbefales ikke at fortryde disse afhjælpningsforanstaltninger, før du installerer programrettelsen.
Som hærdende foranstaltninger: undgå at eksponere WSUS for internettet, forstærk netværkssegmentering, gennemgå regler for omvendt publicering og overvåg med EDR for unormale hændelser fra w3wp.exe/wsusservice.exe-processen, der starter cmd.exe eller PowerShell, samt usædvanlige udgående forbindelser til delingstjenester eller webhooks.
Europæisk kontekst og overvejelser for Spanien
På europæisk plan har BSI og NCSC-NL udstedt meddelelser og anbefalinger at fremskynde patching og gennemgå eksponeringen af standardporte. I Spanien bør både offentlige forvaltninger og SMV'er, der er afhængige af WSUS, prioritere opdateringen og sikre, at tjenesten ikke er tilgængelig fra internettet, medmindre det er berettiget.
Ud over plasteret sætter denne hændelse fokus tilbage på angrebsflade for ældre tjenester og det tilrådelige i at evaluere alternativer og mere robuste opdateringsarkitekturer, reducere eksponering og anvende principperne om mindste privilegier.
Kombinationen af en kritisk sårbarhed, en Offentlig PoC og aktiv udnyttelse, og potentialet for misbrug som en intern forsyningskæde gør CVE-2025-59287 til en høj prioritet: at anvende programrettelsen out of band, opretholde afhjælpningsforanstaltninger, hvis den ikke kan opdateres endnu, og styrke WSUS-overvågning er i dag det bedste forsvar.
