微軟釋出了帶外安全更新,該更新「全面」解決了CVE-2025-59287,這是Windows Server Update Services(WSUS)中的一個遠端程式執行漏洞,據報道,該漏洞正在野外被利用。
关于CVE-2025-59287
WSUS是一个帮助组织在多台计算机上管理和分发微软更新的工具。
WSUS不是每台PC都从微软的服务器下载更新,而是下载更新并存储它们,然后将它们分发到连接到它的网络上的所有计算机。
CVE-2025-59287是不受信任的数据漏洞的关键反序列化,该漏洞可能允许未经授权的攻击者通过向WSUS服务器发送专门制作的事件,在易受攻击的计算机上执行代码。无需用户交互即可触发它。
微软指出,该漏洞仅影响启用了WSUS Server角色的Windows Server计算机,并且默认情况下未启用。
该公司在2025年10月的补丁星期二提出了缺陷的修复,趋势科技零日倡议的威胁意识主管Dustin Childs建议管理员尽快实施,因为该漏洞在受影响的WSUS服务器之间存在蠕虫,而WSUS服务器是一个有吸引力的目标。
修复程序显然并不全面,因此微软现在发布了额外的更新。
公开的PoC,以及野外剥削的报告
如果网络配置正确(即,WSUS 在防火墙后运行),则不应从互联网上进行 CVE-2025-59287 漏洞。
但是,正如德国联邦信息安全办公室(BSI)所指出的,如果攻击者已经访问了内部网络,或者如果外围防火墙配置错误,该漏洞可用于完全控制WSUS服务器,并将攻击扩展到其他服务。
例如,被入侵的WSUS服务器可用于向客户端设备分发恶意更新。
本周早些时候,一位安全研究人员发布了CVE-2025-59287和概念验证漏洞代码的技术概述,安装此更新的紧迫性有所提高。
此外,荷兰国家网络安全中心今天警告说,它“从一个值得信赖的合作伙伴那里了解到,在2025年10月24日观察到漏洞的滥用(……)。”
更新或禁用 WSUS
此带外更新已为所有受支持的Windows Server版本提供,系统更新后需要重新启动。
如果更新无法立即实施,管理员可以暂时禁用WSUS服务器角色,或者通过阻止主机防火墙上端口8530和8531的入站流量,使WSUS无法运行。当然,这也意味着客户端将不再接收来自服务器的更新。
“这是一个累积更新,因此您无需在安装此更新之前应用任何以前的更新,因为它取代了受影响版本的所有先前更新。如果您尚未安装2025年10月的Windows安全更新,我们建议您改用此OOB更新,”微软补充道。
更新(2025年10月25日,下午06:57美国东部时间):
CISA已将CVE-2025-59287添加到其已知漏洞目录中,并指示美国联邦民事机构在2025年11月14日之前将其减弱。
荷兰公司Eye Security告诉Help Net Security,他们是周五上午识别并与NCSC-NL分享首次成功利用漏洞的尝试的公司。
眼睛安全研究员Bas van den Berg指出,他们发现的攻击与Hawktrace的PoC漏洞非常不同,并表明威胁演员的能力超出了剧本儿童的能力。
该公司首席技术官Piet Kerkhofs告诉我们:“我们可以重现RCE,感觉它足够复杂,成为一个国家行为者或高级勒索软件团伙,在短短几天内就将CVE武器化了。”
该公司有相同的妥协指标。
Huntress还检测到了攻击,“从协调世界时2025-10-23 23:34左右开始”,进行侦察:识别登录用户,列出活动目录域中的所有用户帐户,抓取系统的网络设置。
他们说:“攻击者利用暴露的WSUS端点发送专门制作的请求(多次POST呼叫到WSUS网络服务),触发了针对更新服务的反序列化RCE。”
“利用活动包括通过HTTP工作进程和WSUS服务二进制生成命令提示符和PowerShell。在PowerShell中解码和执行了base64编码的有效负载;有效负载列举了敏感网络和用户信息的服务器,并将结果提取到远程webhook。”
Huntress说,他们的四个客户被击中了,但他们预计CVE-2025-59287的利用是有限的:“WSUS并不经常暴露端口8530和8531。在我们的合作伙伴群中,我们已经观察到了约25个宿主易感。”
Eye Security已经确定了大约8000台面向互联网的服务器,其中一个端口是开放的,尽管他们无法检查它们是否易受攻击。考虑到紧急修复在不到两天前被推出,可能还没有很多补丁。
消息来源:helpnetsecurity, 翻译整理:安全114;
转摘注明出处 :www.anquan114.com
暂无评论内容