Опубликован доказательства концепции (PoC) для устранения критической уязвимости в Microsoft Windows Server Update Services (WSUS), позволяющей неаутентифицированным нападающим выполнять удаленный код с привилегиями SYSTEM. Уязвимость затрагивает все поддерживаемые версии Windows Server с 2012 по 2025 год.
Влияние уязвимости WSUS на безопасность серверов
Технические подробности
Уязвимость, получившая идентификатор CVE-2025-59287 и оценку CVSS v3.1 равную 9.8, возникает из-за небезопасной десериализации ненадежных данных при обработке AuthorizationCookie в WSUS. Неадекватная валидация в методе GetCookie() позволяет передавать шифрованные объекты AuthorizationCookie напрямую .NET BinaryFormatter без ограничений типов. Это позволяет злоумышленникам активировать произвольное выполнение кода.
Риски и рекомендации
Компания Microsoft классифицировала уязвимость как "Exploit More Likely" с возможным уровнем распространения червя через сетевые серверы WSUS. Также рекомендовано немедленно применить октябрьские патчи 2025 года. Для снижения рисков организации должны изолировать серверы WSUS, ограничить доступ с помощью межсетевых экранов, мониторить аномальный SOAP трафик и перейти от использования BinaryFormatter к более безопасным сериализаторам.
Исследователь "hawktrace" опубликовал на GitHub PoC для генерации вредоносных делегатов, что может привести например к запуску программ на сервере. Хотя активных атак не зафиксировано, наличие PoC увеличивает необходимость срочного обновления серверов.
