Microsoft випустила позапланові оновлення безпеки для усунення критичної уразливості в Windows Server Update Services (WSUS), відстежуваної як CVE-2025-59287. Вразливість дозволяє віддалене неавторизоване виконання коду (RCE) із правами SYSTEM і вже має публічний PoC. Дослідники фіксують перші спроби експлуатації «в дикій природі», що надає інциденту високий пріоритет реагування для команд ІБ.
Природа уразливості: небезпечна десеріалізація та ризик «самопоширення»
WSUS — ключовий компонент Windows Server для централізованого розповсюдження оновлень у корпоративних мережах. Уразливість пов’язана з небезпечної десеріалізацією об’єктів у застарілому механізмі, що може бути ініційовано спеціально сформованою подією від зловмисника. У результаті сервер виконує довільний код із найвищими привілеями.
Десеріалізація — це «розпакування» даних у програмні об’єкти. Якщо вхід не перевіряється належним чином, атакувальник здатен підмінити дані так, щоб примусити систему виконати шкідливі дії. У контексті WSUS це створює умови для горизонтального і вертикального руху всередині мережі та, потенційно, саморасповсюдження між WSUS-серверами — типова загроза для класу вразливостей небезпечної десеріалізації (див. практики OWASP).
Кого зачіпає: позиція Microsoft та підтримувані редакції
За повідомленням Microsoft, уразливі лише сервери Windows із увімкненою роллю WSUS Server Role (типово вона вимкнена). Якщо планується її активація, спочатку необхідно встановити патч — інакше сервер стане вразливим відразу після ввімкнення ролі.
Оновлення випущені для всіх підтримуваних версій Windows Server, де доступна роль WSUS. Додатково компанія тимчасово відключила відображення детальних повідомлень про помилки синхронізації в WSUS після встановлення цих (і новіших) патчів, щоб знівелювати вектор експлуатації CVE-2025-59287.
Ознаки експлуатації: дані Eye Security та Huntress
Eye Security повідомляє про активні сканування та спроби атак на CVE-2025-59287. Зафіксовано принаймні один злам клієнтської системи з використанням експлойта, відмінного від публічного PoC. Хоча WSUS зазвичай не публікують в інтернет, дослідники виявили близько 2500 публічно доступних інстансів у світі — це збільшує площину атаки.
Huntress також фіксує атаки на інстанси WSUS з відкритими портами 8530 та 8531. За їх оцінкою, масштаби експлуатації наразі обмежені; у партнерській вибірці виявлено близько 25 вразливих хостів. У зафіксованих інцидентах зловмисники запускали команди PowerShell для розвідки внутрішнього домену (облікові записи, доменні користувачі, мережева конфігурація) із подальшою відправкою результатів на зовнішній вебхук.
Термінові заходи захисту: пріоритети для адміністраторів
Оновлення безпеки (високий пріоритет)
Негайно встановіть патчі на всі сервери з увімкненою роллю WSUS, а також на ті, де її планують увімкнути. Використовуйте стандартні канали оновлення Microsoft і перевірте успішність інсталяції в журналах подій.
Тимчасові міри при неможливості негайного оновлення
Розгляньте тимчасове відключення ролі WSUS або блокування всього вхідного трафіку на 8530/TCP і 8531/TCP. Слід усвідомлювати, що тоді WSUS стане недоступним, а клієнти перестануть отримувати оновлення з локального сервера.
Моніторинг і реагування
Перевірте журнали WSUS/IIS і PowerShell на нетипові запити та виконання команд, зокрема зовнішні вебхуки, збір доменної інформації та активність із системними привілеями. Посильте кореляцію подій на SOC-рівні та контролюйте вихідний трафік до невідомих доменів.
Зменшення поверхні атаки
Тримайте WSUS за внутрішнім периметром, застосовуйте сегментацію мережі, принцип найменших привілеїв і мінімізуйте експозицію портів 8530/8531 до інтернету. Періодично проводьте інвентаризацію хостів і сканування відкритих сервісів, щоби виключити ненавмисний публічний доступ.
Ставки високі: успішна експлуатація CVE-2025-59287 дає зловмисникам права SYSTEM на критичному елементі інфраструктури оновлень. У поєднанні з публічним PoC і виявленими спробами атак це робить оновлення невідкладним. Негайно встановіть патчі, перевірте експозицію портів 8530/8531, посильте моніторинг і, за потреби, застосуйте тимчасові ізоляційні заходи. Тримайте WSUS закритим від зовнішньої мережі, регулярно переглядайте політики доступу та впроваджуйте контроль вихідного трафіку — це мінімізує ризики як первинної компрометації, так і подальшого розвитку атаки.
