Când o caracteristică rar utilizată a Windows Server a devenit ținta atacurilor, administratori din mai multe state au trebuit să reacționeze prompt. Problema vizează o vulnerabilitate critică din Windows Server Update Services (WSUS), desemnată CVE-2025-59287, care permite executarea de cod de la distanță pe servere ce rulează rolul WSUS ca sursă de actualizări pentru alte servere. Această funcționalitate nu este activată în mod implicit, însă acolo unde este folosită, pericolul a devenit imediat semnificativ, în special după apariția unui cod proof-of-concept public.
Vulnerabilitatea poate fi exploatată cu efort redus, fără nevoie de privilegii de utilizator sau interacțiune umană, permițând atacatorilor să execute cod cu drepturi SYSTEM. Teoretic, în anumite circumstanțe, ar putea facilita răspândirea între instanțele WSUS, deci nu e doar o problemă izolatã. Microsoft a răspuns neobișnuit de repede, publicând joi actualizări de securitate out-of-band pentru toate versiunile afectate de Windows Server și recomandând instalarea urgentă a patch-urilor. Pentru cei care nu pot aplica imediat remedierile, compania a propus măsuri temporare, cea mai directă fiind dezactivarea rolului WSUS pe serverele vulnerabile, eliminând astfel vectorul de atac.
Pe parcursul weekendului, firma HawkTrace Security a publicat un PoC pentru CVE-2025-59287; acel cod nu permitea execuție arbitrară de comenzi, dar a crescut semnificativ nivelul de risc. Observațiile din teren au arătat însă că atacatorii folosesc și alte variante. Eye Security, o companie olandeză de securitate cibernetică, a raportat scanări și tentative de exploatare încă de a doua zi dimineață, precizând că unul dintre clienții săi a fost compromis cu ajutorul unui exploit diferit față de cel dat publicității de HawkTrace. Eye Security a estimat existența a aproximativ 2.500 de instanțe WSUS accesibile public la nivel mondial, dintre care în jur de 250 în Germania și 100 în Țările de Jos. Aceasta în pofida faptului că, în mod normal, serverele WSUS nu ar trebui să fie expuse pe internet.
Cea mai timpurie monitorizare a înregistrat activitate încă din 23 octombrie, când compania americană Huntress a observat țintirea instanțelor WSUS cu porturile implicite 8530/TCP și 8531/TCP deschise către internet. Huntress a precizat că, deși nu se anticipează o valangă masivă de atacuri, multe medii nu expun aceste porturi, au identificat aproximativ 25 de gazde susceptibile în rețeaua lor de parteneri. În cazurile analizate, atacatorii au rulat un script PowerShell care a colectat informații despre domeniul Windows intern și le-a trimis către un webhook. Printre comenzile folosite s-au aflat whoami, net user /domain și ipconfig /all, ceea ce indică clar intenția de a aduna detalii despre conturi și configurația rețelei înainte de a continua cu pași ulteriori.
Centrul Național pentru Securitate Cibernetică din Țările de Jos a confirmat constatările firmelor private și a avertizat administratorii privind riscul sporit generat de disponibilitatea codului PoC. NCSC-NL a menționat observarea exploatării pe 24 octombrie 2025 și a subliniat că nu este obișnuit ca un serviciu WSUS să fie accesibil public prin internet, motiv pentru care apariția unui PoC amplifică îngrijorarea.
Microsoft a catalogat CVE-2025-59287 ca având probabilitate crescută de exploatare, ceea ce transformă acest bug într-o țintă atractivă pentru atacatori. La momentul actualizării anunțului, compania nu confirmase oficial exploatarea activă, deși rapoartele independente din teren semnalate de Eye Security și Huntress indică contrariul. Pentru echipele IT, recomandarea rămâne clară: aplicați patch-urile publicate de Microsoft cât mai curând și izolați sau dezactivați rolul WSUS pe mașinile expuse.
Actualizare 24 octombrie, 13:51 EDT: informații suplimentare privind exploatarea activă detectată de Huntress Labs.
Detaliile concrete ale atacurilor ajută la prioritizarea acțiunilor: comenzile whoami, net user /domain și ipconfig /all apar în jurnalele analizate, iar porturile 8530/8531 sunt cele vizate. Dacă gestionați servere WSUS, instalați patch-urile Microsoft sau dezactivați rolul WSUS până la remediere și scanați pentru activitate neobișnuită, care poate include execuții PowerShell trimise către endpoint-uri externe. Următorii pași pentru echipele de securitate sunt verificarea expunerii porturilor, aplicarea actualizărilor și monitorizarea indicatorilor menționați mai sus pentru detectarea eventualelor compromiteri.
Microsoft a lansat patch-urile pentru CVE-2025-59287. Ați verificat deja dacă porturile 8530 sau 8531 sunt expuse pe internet pe serverele voastre?
Fii primul care comentează