Microsoft выпустила обновление для устранения критической уязвимости удаленного исполнения кода в Windows Server Update Services (WSUS) с идентификатором CVE-2025-59287. Уязвимость затрагивает серверы на базе Windows Server 2012–2025 и имеет высокий рейтинг серьезности — 9.8. Уязвимость позволяет неавторизованным злоумышленникам выполнять произвольный код благодаря небезопасной десериализации недоверенных данных. Серверы без активированной роли WSUS не подвержены риску.
Проблемы и их устранение
Первое обновление Patch Tuesday, выпущенное 2023-10-14, не полностью устранило уязвимость, и Microsoft позже выпустила внеочередной патч. Исследователь безопасности Кевин Бомонт воспроизвел эту проблему в лабораторных условиях, продемонстрировав, что злоумышленник может модифицировать обновления и даже принудительно устанавливать их, используя настройки сроков. Несмотря на единичные случаи, угрозу следовало воспринимать всерьез.
Атаки и защищенные регионы
Национальные киберцентры США и Нидерландов сообщили об активности со стороны злоумышленников. Компании Huntress и WatchTowr зарегистрировали атаки начиная с 2023-10-23, которые были нацелены на экземпляры WSUS с открытыми портами по умолчанию 8530/8531. Атаки использовали процесс HTTP worker и двоичные файлы WSUS для выполнения команд через Command Prompt и PowerShell. Huntress сообщает о менее чем 25 уязвимых публично доступных хостах, в то время как WatchTowr предупредила о более чем 8 000 все еще уязвимых инстанциях, включая инстанции в организациях с высоким уровнем значимости.
Как Microsoft патч защищает серверы от атак
Рекомендации и меры защиты
Microsoft заявляет, что пользователи, установившие последние обновления, надежно защищены. Администраторам настоятельно рекомендуется оперативно применять обновления и избегать публичного доступа к WSUS через интернет. Эти меры значительно снижают потенциальное воздействие атак.
