В сетях зафиксированы первые активные попытки эксплуатации уязвимости в службе обновлений Windows Server. Крайне важно применить выпущенные исправления в кратчайшие сроки.
Опасная брешь в системе WSUS (Windows Server Update Service), информация о которой появилась на прошлой неделе, уже привлекла внимание злоумышленников.
Уязвимость, зарегистрированная как CVE-2025-59287 с максимальным рейтингом 9.8 по шкале CVSS 3.x, возникает из-за обработки непроверенных данных. Это позволяет выполнять произвольный код удалённо, используя сетевое подключение.
Проблема затрагивает Windows Server версий 2012, 2012R2, 2016, 2019, 2022, 23H2 и 2025.
Корпорация Microsoft в четверг опубликовала отдельные патчи для каждой из этих версий и настоятельно рекомендовала их немедленную установку.
Стоит отметить, что эксплуатация возможна лишь на тех серверах, которые выполняют роль центра обновления для других систем Windows Server. Данная функция по умолчанию неактивна. Кроме того, большинство WSUS-серверов изолированы от глобальной сети. Однако исследование компании Eye Security выявило около 2500 общедоступных экземпляров, примерно десятая часть которых расположена в Германии.
«Присвоение почти максимального уровня опасности связано с крайне низким порогом входа для атакующих, — поясняет Михаил Зайцев, специалист по кибербезопасности компании SEQ. — Кроме того, эта уязвимость идеально подходит для первоначального проникновения и закрепления в системе, что открывает путь для дальнейшего перемещения по корпоративной сети».
Компания HawkTrace Security, занимающаяся вопросами защиты данных, разместила демонстрационный код для использования уязвимости ещё на прошлых выходных. Впрочем, он не позволял выполнять реальные вредоносные команды на целевых машинах.
Начиная с 23 октября специалисты Huntress зафиксировали попытки эксплуатации CVE-2025-59287, не связанные с опубликованным эксплойтом.
Злоумышленники сканировали сеть на наличие открытых портов 8530/TCP и 8531/TCP, используемых WSUS по умолчанию. В Huntress отмечают, что эффективность таких атак будет невысокой: эти порты редко доступны извне, и среди всех клиентов компании было обнаружено лишь около 25 потенциально уязвимых систем.
В ходе наблюдаемых инцидентов злоумышленники выполняли команды PowerShell для изучения сетевого окружения и отправки полученных данных на внешний сервер.
Как минимум, использовались команды whoami, net user /domain и ipconfig /all. Их успешное выполнение предоставляет атакующим значительный объём полезной информации для планирования последующих действий.
