微软在10月例行更新(Patch Tuesday)其中,公布Windows Server Update Services(WSUS)远程程序代码执行(RCE)漏洞CVE-2025-59287,本周传出微软发布额外的修补程序,并传出有人根据已经公布的概念验证程序代码(PoC),将这项漏洞用于攻击行动。
10月24日微软更新安全公告的内容,呼吁用户要尽快套用他们在23日、24日发布的紧急更新,若是无法即时修补,用户应该停用WSUS的功能,并封锁主机防火墙8530端口和8531端口的流入流量应对。
CVE-2025-59287为重大层级的漏洞,CVSS风险评为9.8分(满分10分),影响激活WSUS服务的Windows Server,一旦遭到利用,攻击者就有机会在未经身份验证的情况下,发送特定的事件,在特定的串行化机制里触发不安全的对象反串行化行为,从而达到远程执行任意程序代码的目的。
上述的情况是否代表漏洞已遭到利用?虽然微软在安全公告里仅提及,这项漏洞被利用的可能性相当高,并未说明这项漏洞是否已被用于攻击,然而,10月24日已有两家安全企业(Eye Security与Huntress)发现相关活动,而且,美国网络安全暨基础设施安全局(CISA)也将此漏洞列入已遭利用的漏洞名单(KEV),并要求联邦机构限期在11月14日完成修补。
首先,安全企业HawkTrace在10月18日发布漏洞细节及概念验证(PoC),24日Eye Security通过职场社交媒体网站LinkedIn警告,有人针对全球WSUS服务器积极利用这项漏洞,而且也得逞。根据该公司的扫描结果,全球约有2,500台WSUS服务器可直接通过网际网络访问,其中约有100台在荷兰、约250台在德国,呼吁企业应尽快采取行动应对。
另一家安全厂商Huntress,在UTC时间10月23日23时34分左右,发现有人寻找TCP 8530端口与8531端口暴露于网际网络的WSUS服务器,试图利用CVE-2025-59287。攻击者先对这些服务器发送特定的请求,其中包含多种WSUS网页服务的POST调用,触发更新服务的反串行化现象,以便进行RCE攻击。
接着,攻击者通过WSUS服务及IIS主机的处理程序,产生命令行及PowerShell的子程序,然后借由PowerShell解开经Base64处理的有效酬载并执行。此有效酬载的功能,就是找出网络环境的所有服务器与用户的资讯,然后将结果截取到远程的Webhook。
荷兰国家网络安全中心(NCSC-NL)也发出警告,表示他们掌握该漏洞遭到积极利用的情况,呼吁企业不要将WSUS服务直联网际网络,也应该套用微软发布的额外更新程序应对。
值得留意的是,去年9月微软宣布将弃用WSUS,不再开发及接受新功能的请求,但仍为WindowsServer 2025提供相关功能及支持,并通过WSUS传送相关更新,以及借由该系统发布的任何内容。
