В службе обновления серверов Microsoft Windows Server Update Service (WSUS) была обнаружена критическая уязвимость удаленного выполнения кода, получившая идентификатор CVE-2025-59287. С оценкой 9.8 по шкале CVSS, она позволяет неаутентифицированному злоумышленнику получить полный контроль над уязвимым сервером с правами уровня SYSTEM. Проблема затрагивает только те серверы Windows, на которых активирована роль WSUS.
Изначально Microsoft выпустила исправление в рамках своего регулярного «вторника патчей», однако оно оказалось неполным. Это вынудило компанию опубликовать внеплановое обновление безопасности в четверг, чтобы полностью закрыть брешь. В официальном заявлении Microsoft говорилось: «Мы перевыпустили этот CVE после того, как обнаружили, что первоначальное обновление не полностью устранило проблему». В число исследователей, обнаруживших уязвимость, вошли MEOW, f7d8c52bec79e42795cf15888b85cbad и Маркус Вульфтанге из компании CODE WHITE GmbH.
Техническая причина уязвимости кроется в небезопасной десериализации недоверенных данных. Атакующий может отправить специально созданное сетевое событие, которое эксплуатирует уязвимость в обработке объектов
Использование
Ситуация обострилась после того, как исследователь безопасности Батухан Эр из компании HawkTrace опубликовал общедоступный эксплойт (Proof-of-Concept), детально демонстрирующий механизм атаки. Это значительно снизило порог входа для злоумышленников и спровоцировало волну реальных атак.
Первое подтверждение активной эксплуатации поступило 24 октября 2025 года от Национального центра кибербезопасности Нидерландов (NCSC). Информация была получена от партнера, компании Eye Security, которая зафиксировала первую атаку на одного из своих клиентов в 06:55 по всемирному координированному времени (UTC).
По данным Eye Security, злоумышленники использовали полезную нагрузку в виде.NET-исполняемого файла, закодированного в Base64. Команды для выполнения передавались через значение HTTP-заголовка с именем 'aaaa', что позволяло скрывать их от регистрации в стандартных журналах веб-сервера. Технический директор Eye Security, Пит Керкхофс, предоставил эти данные изданию The Hacker News.
Другая компания по кибербезопасности, Huntress, также зафиксировала массовые атаки, начавшиеся примерно 23 октября 2025 года в 23:34 UTC. Атаки были нацелены на экземпляры WSUS, доступные из интернета по стандартным портам 8530/TCP и 8531/TCP. Злоумышленники отправляли множественные POST-запросы к веб-службам WSUS.
Анализ Huntress показал, что рабочий процесс WSUS запускал процессы
В ответ на подтвержденные атаки Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость CVE-2025-59287 в свой каталог известных эксплуатируемых уязвимостей (KEV). CISA обязало все федеральные агентства США установить необходимое обновление до 14 ноября 2025 года.
Представитель Microsoft подтвердил, что клиенты, установившие последние обновления, полностью защищены от этой угрозы. Основной рекомендацией для всех администраторов является немедленное применение исправленного патча для предотвращения компрометации серверов.
Изображение носит иллюстративный характер
Изначально Microsoft выпустила исправление в рамках своего регулярного «вторника патчей», однако оно оказалось неполным. Это вынудило компанию опубликовать внеплановое обновление безопасности в четверг, чтобы полностью закрыть брешь. В официальном заявлении Microsoft говорилось: «Мы перевыпустили этот CVE после того, как обнаружили, что первоначальное обновление не полностью устранило проблему». В число исследователей, обнаруживших уязвимость, вошли MEOW, f7d8c52bec79e42795cf15888b85cbad и Маркус Вульфтанге из компании CODE WHITE GmbH.
Техническая причина уязвимости кроется в небезопасной десериализации недоверенных данных. Атакующий может отправить специально созданное сетевое событие, которое эксплуатирует уязвимость в обработке объектов
AuthorizationCookie, отправляемых на конечную точку GetCookie(). Данные cookie расшифровываются с помощью AES-128-CBC и затем десериализуются через BinaryFormatter без надлежащей проверки типов, что и приводит к выполнению произвольного кода. Использование
BinaryFormatter для обработки недоверенных данных является устаревшей и небезопасной практикой, от которой сама Microsoft рекомендовала отказаться. Реализация этого метода была полностью удалена 9 в августе 2024 года, что подчеркивает риски, связанные с его применением. Для полного вступления в силу нового исправления рекомендуется перезагрузка системы. Ситуация обострилась после того, как исследователь безопасности Батухан Эр из компании HawkTrace опубликовал общедоступный эксплойт (Proof-of-Concept), детально демонстрирующий механизм атаки. Это значительно снизило порог входа для злоумышленников и спровоцировало волну реальных атак.
Первое подтверждение активной эксплуатации поступило 24 октября 2025 года от Национального центра кибербезопасности Нидерландов (NCSC). Информация была получена от партнера, компании Eye Security, которая зафиксировала первую атаку на одного из своих клиентов в 06:55 по всемирному координированному времени (UTC).
По данным Eye Security, злоумышленники использовали полезную нагрузку в виде.NET-исполняемого файла, закодированного в Base64. Команды для выполнения передавались через значение HTTP-заголовка с именем 'aaaa', что позволяло скрывать их от регистрации в стандартных журналах веб-сервера. Технический директор Eye Security, Пит Керкхофс, предоставил эти данные изданию The Hacker News.
Другая компания по кибербезопасности, Huntress, также зафиксировала массовые атаки, начавшиеся примерно 23 октября 2025 года в 23:34 UTC. Атаки были нацелены на экземпляры WSUS, доступные из интернета по стандартным портам 8530/TCP и 8531/TCP. Злоумышленники отправляли множественные POST-запросы к веб-службам WSUS.
Анализ Huntress показал, что рабочий процесс WSUS запускал процессы
cmd.exe и PowerShell для загрузки и выполнения закодированного в Base64 PowerShell-скрипта. Этот скрипт собирал информацию о сети и пользователях на скомпрометированном сервере, после чего отправлял украденные данные на контролируемый злоумышленниками URL-адрес на webhook[.]site. В ответ на подтвержденные атаки Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость CVE-2025-59287 в свой каталог известных эксплуатируемых уязвимостей (KEV). CISA обязало все федеральные агентства США установить необходимое обновление до 14 ноября 2025 года.
Представитель Microsoft подтвердил, что клиенты, установившие последние обновления, полностью защищены от этой угрозы. Основной рекомендацией для всех администраторов является немедленное применение исправленного патча для предотвращения компрометации серверов.
