Microsoft выпустила второе обновление для устранения критической уязвимости удалённого выполнения кода в сервисе обновления Windows Server Update Services (WSUS). Первоначальное исправление оказалось недостаточным, и уязвимость была взята на вооружение злоумышленниками.
Подробности уязвимости и атак
Данная уязвимость, зарегистрированная под кодом CVE-2025-59287, затрагивает версии WSUS на Windows Server 2012, 2016, 2019, 2022 и 2025. Проблема связана с небезопасной десериализацией данных в AuthorizationCookie через BinaryFormatter, что позволяет злоумышленнику без аутентификации добиться дистанционного выполнения кода с правами SYSTEM, отправив злонамеренное зашифрованное cookie на конечную точку GetCookie().
Компании HawkTrace, Eye Security и Huntress сообщили об активной эксплуатации уязвимости. По данным Eye Security, в мировом масштабе обнаружено около 2 500 уязвимых серверов WSUS, а Huntress зафиксировала атаки на стандартные порты WSUS 8530/8531.
Важное обновление для серверов безопасности
Рекомендации по защите серверов
23 октября 2025 года CISA и Национальный центр кибербезопасности Нидерландов (NCSC) выпустили рекомендательные предупреждения для организаций с настоятельной просьбой установить обновление вне графика и перезагрузить затронутые серверы. Таким образом владельцам серверов следует немедленно применить патчи и, если это невозможно, временно отключить роль WSUS Server и/или заблокировать входящие соединения на порты 8530/8531 до момента установки обновления.
- Совместимые серверы: Windows Server 2012, 2016, 2019, 2022, 2025
- Дата выпуска патча: 2025-10-23
- Необходимые действия: перезагрузка серверов, блокировка портов, отключение WSUS
