Разработчики Microsoft выпустили внеплановые патчи для критической уязвимости в Windows Server Update Service (WSUS), для которой уже появился публичный proof-of-concept эксплоит. Проблема получила идентификатор CVE-2025-59287 и позволяет удаленно выполнить код на уязвимых серверах.
WSUS позволяет администраторам управлять и распространять обновления Windows на компьютеры внутри корпоративной сети. Подчеркивается, что баг затрагивает только серверы Windows с включенной ролью WSUS Server Role (эта функция по умолчанию отключена).
Уязвимость можно эксплуатировать удаленно, и такие атаки не требуют взаимодействия с пользователем. Удаленный неаутентифицированный атакующий может отправить специально подготовленное событие, которое запустит небезопасную десериализацию объектов в устаревшем механизме сериализации, что приведет к удаленному выполнению кода. В итоге злоумышленник без привилегий получает возможность выполнить вредоносный код с правами SYSTEM.
Это делает баг потенциально самораспространяющимся между WSUS-серверами — то есть он может работать как червь.
«Серверы Windows без включенной WSUS Server Role не уязвимы. Если роль WSUS уже включена, сервер уязвим. Если вы планируете включить роль WSUS, сначала установите патч, иначе сервер станет уязвимым сразу после активации роли», — сообщают в Microsoft.
Microsoft подготовила обновления для всех затронутых версий Windows Server и призвала установить их как можно скорее. Патчи доступны для:
- Windows Server 2025 (KB5070881);
- Windows Server, версия 23H2 (KB5070879);
- Windows Server 2022 (KB5070884);
- Windows Server 2019 (KB5070883);
- Windows Server 2016 (KB5070882);
- Windows Server 2012 R2 (KB5070886);
- Windows Server 2012 (KB5070887).
Кроме того, разработчики предложили ряд временных мер для администраторов, которые не могут немедленно установить экстренные обновления. Можно отключить WSUS Server Role или заблокировать весь входящий трафик на порты 8530 и 8531, что сделает WSUS неработоспособным. Правда, следует учитывать, что после отключения WSUS или блокировки трафика конечные устройства Windows перестанут получать обновления с локального сервера.
В отдельном бюллетене Microsoft сообщила, что WSUS больше не будет показывать детали ошибок синхронизации после установки этих или более поздних патчей — функциональность временно отключена для устранения уязвимости CVE-2025-59287.
По информации специалистов компании Eye Security, уже были обнаружены первые попытки сканирования и эксплуатации свежего бага. Системы как минимум одного из клиентов компании были скомпрометированы с использованием эксплоита, отличающегося от того, что появился в сети ранее.
Хотя WSUS-серверы обычно не доступны через интернет, Eye Security обнаружила около 2500 доступных экземпляров по всему миру.
Американская компания Huntress также предупреждает, что уже обнаружила свидетельства атак на CVE-2025-59287, нацеленных на инстансы WSUS с открытыми дефолтными портами (8530/TCP и 8531/TCP).
«Мы ожидаем, что эксплуатация CVE-2025-59287 будет ограниченной — у WSUS редко открыты порты 8530 и 8531. В нашей партнерской базе мы обнаружили около 25 уязвимых хостов», — отметили в Huntress.
В атаках, замеченных Huntress, злоумышленники выполняли PowerShell-команду для изучения внутреннего домена Windows, а затем данные отправлялись на вебхук. Эти данные включали вывод команд whoami (имя текущего пользователя), net user /domain (список всех учетных записей в домене Windows) и ipconfig /all (конфигурация сети для всех сетевых интерфейсов).
