Microsoft выпустила внеплановые обновления безопасности для устранения критической уязвимости в Windows Server Update Services (WSUS), отслеживаемой как CVE-2025-59287. Проблема уже имеет публично доступный proof-of-concept (PoC), а исследователи фиксируют первые попытки эксплуатации в дикой природе. Уязвимость позволяет удаленно и без аутентификации выполнить произвольный код на сервере с правами SYSTEM.
Суть уязвимости: небезопасная десериализация и риск «червеподобного» распространения
WSUS — это компонент Windows Server для централизованного управления и распространения обновлений внутри корпоративной сети. Ошибка затрагивает только те инсталляции Windows Server, где включена роль WSUS Server Role (по умолчанию она отключена). По данным Microsoft, удаленный атакующий может отправить специально сформированное событие, которое приводит к небезопасной десериализации объектов в устаревшем механизме сериализации и, как следствие, к выполнению кода.
Простыми словами, десериализация — это «распаковка» данных в объекты. Если процесс реализован небезопасно и не проверяет вход, злоумышленник способен подменить данные так, чтобы сервер выполнил вредоносные действия. В контексте WSUS это означает выполнение кода с наивысшими правами, что создает условия для дальнейшего продвижения внутри инфраструктуры и делает уязвимость потенциально самораспространяемой между WSUS-серверами.
Кого затрагивает и что говорит Microsoft
Microsoft подчеркивает: «Серверы Windows без включенной WSUS Server Role не уязвимы. Если роль WSUS уже включена — сервер уязвим. Если планируете включить роль, сначала установите патч, иначе сервер станет уязвимым сразу после активации роли».
Выпущены обновления для всех поддерживаемых версий Windows Server, где доступна роль WSUS. Кроме того, компания временно отключила отображение подробностей ошибок синхронизации в WSUS после установки этих или более поздних патчей — мера направлена на нейтрализацию вектора эксплуатации CVE-2025-59287.
Временные меры: блокировка портов и отключение роли WSUS
Если оперативная установка обновлений невозможна, Microsoft рекомендует временно отключить роль WSUS или заблокировать весь входящий трафик на порты 8530/TCP и 8531/TCP. Следует учитывать, что при этом WSUS станет недоступен, а конечные устройства перестанут получать обновления с локального сервера.
Признаки активной эксплуатации: наблюдения Eye Security и Huntress
По данным Eye Security, уже зафиксированы сканирование и попытки атак на CVE-2025-59287; как минимум одна скомпрометированная система клиента была атакована эксплоитом, отличным от ранее опубликованного PoC. Хотя WSUS обычно не публикуется в интернет, специалисты обнаружили около 2500 публично доступных экземпляров по всему миру.
Huntress также сообщает о признаках атак, нацеленных на инстансы WSUS с открытыми портами 8530 и 8531. По оценке компании, масштаб эксплуатации может быть ограниченным, и в партнерской базе выявлено около 25 уязвимых хостов. В зафиксированных инцидентах злоумышленники запускали команды PowerShell для разведки внутреннего домена (например, сбор сведений об учетной записи, доменных пользователях и сетевой конфигурации) и отправляли результаты на внешний вебхук.
Что делать сейчас: приоритетные шаги для администраторов
1) Немедленно установить патчи на все серверы с включенной ролью WSUS и на те, где планируется ее включение. Обновления доступны через стандартные каналы Microsoft.
2) Усилить периметр: при невозможности обновления — заблокировать входящие подключения на порты 8530/8531 или временно отключить WSUS, осознавая влияние на процесс обновлений конечных станций.
3) Мониторинг и реагирование: проверить журналы WSUS/IIS и PowerShell на предмет подозрительных запросов и выполнения команд; обратить внимание на внезапные внешние вебхуки, а также на учетные активности с системными привилегиями.
4) Снижение поверхности атаки: ограничить доступ к WSUS по сети, удерживать сервис за внутренним периметром, применять принцип наименьших привилегий и сегментацию, а также контролировать исх. трафик на неизвестные домены.
Риск для организаций заключается в том, что успешная эксплуатация CVE-2025-59287 дает нападающим системные права на критическом элементе инфраструктуры обновлений. В сочетании с публичным PoC и обнаруженными попытками атак это повышает срочность внедрения обновлений. Рекомендуется незамедлительно установить патчи, проверить экспозицию портов 8530/8531, усилить мониторинг и, при необходимости, задействовать временные изоляционные меры. Поддерживайте WSUS закрытым от внешней сети и регулярно проверяйте политики доступа, чтобы минимизировать риски повторных попыток эксплуатации.
