В эксплуатацию уже запущена уязвимость в системе обновлений Windows Server. Крайне важно применить выпущенные исправления в кратчайшие сроки.
Опасная брешь в безопасности, недавно обнаруженная в службе WSUS (Windows Server Update Service), уже привлекла внимание злонамеренных хакеров.
Речь идет об уязвимости CVE-2025-59287 с высочайшим уровнем опасности 9.8 по шкале CVSS 3.x. Она возникает из-за обработки непроверенных данных и позволяет выполнять произвольный код удаленно через сетевое подключение.
Данная проблема затрагивает Windows Server версий 2012, 2012R2, 2016, 2019, 2022, 23H2 и 2025.
Корпорация Microsoft выпустила необходимые патчи в прошлый четверг и настоятельно рекомендует их немедленную установку.
Стоит отметить, что эта уязвимость представляет угрозу только для тех серверов, которые выполняют роль источника обновлений для других систем Windows Server. По умолчанию данная функция отключена. Кроме того, большинство WSUS-серверов изолированы от публичного интернета. Однако исследование компании Eye Security выявило около 2500 общедоступных серверов, примерно десятая часть которых расположена в Германии.
«Присвоение почти максимального уровня угрозы связано с крайне низким порогом входа для атакующих, — поясняет Михаил Зайцев, эксперт по кибербезопасности компании SEQ. — Кроме того, эта уязвимость идеально подходит для первоначального проникновения и закрепления в целевой системе, что открывает путь для дальнейшего перемещения по корпоративной сети».
Специализированная фирма HawkTrace Security опубликовала демонстрационный код для использования этой уязвимости еще на прошлых выходных. Впрочем, он не позволял выполнять реальные вредоносные команды на атакованных системах.
Начиная с 23 октября эксперты компании Huntress зафиксировали попытки эксплуатации уязвимости CVE-2025-59287, не связанные с упомянутым демонстрационным кодом.
Злоумышленники пытались обнаружить открытые порты 8530/TCP и 8531/TCP, используемые WSUS по умолчанию. В Huntress отмечают, что эффективность таких атак будет невысокой: эти порты редко доступны извне, и среди всех клиентов компании было найдено лишь около 25 потенциально уязвимых систем.
В ходе наблюдаемых инцидентов злоумышленники выполняли команды PowerShell для изучения сетевого окружения и отправки собранной информации на внешний сервер.
Использовались, как минимум, команды whoami, net user /domain и ipconfig /all. Их успешное выполнение предоставляет атакующим значительный объем ценных данных для планирования последующих действий.
