Microsoft WSUS má kritickú aktívne zneužívanú zraniteľnosť

Služba Windows Server Update Services obsahuje kritickú zraniteľnosť umožňujúcu vzdialene vykonávať kód. Útočníci posielajú upravené požiadavky na porty 8530 a 8531 služby WSUS, čím získavajú kontrolu nad serverom. Microsoft vydal núdzovú aktualizáciu a odporúča zakázať službu WSUS, pokiaľ opravná aktualizácia nie je možná.

Zraniteľné systémy:

• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server 2022, 23H2 Edition (Server Core installation)
• Windows Server 2025
• Windows Server 2025 (Server Core installation)

Opis činnosti:

CVE-2025-59287 (CVSS skóre 9,8)

Kritická zraniteľnosť vo Windows Server Update Services (WSUS) súvisí s nezabezpečenou deserializáciou objektov AuthorizationCookie zaslaných na koncový bod GetCookie(). Absentujúca kontrola typu dát po deserializácii umožňuje neautentifikovanému útočníkovi vzdialene vykonávať kód s právami SYSTEM.

Hackeri aktívne útočia na servery s otvorenými portmi 8530 a 8531 s cieľom zneužiť zraniteľné verzie. Vektorom útoku sú volania POST so špeciálne upravenými AuthorizationCookie. Pri zaznamenaných prípadoch boli zneužité procesy w3wp.exe a wsusservice.exe na spustenie cmd.exe a powershell.exe.

Možné škody:

• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia služby WSUS na verzie, ktoré uvádza Microsoft na svojom webe. Servery je potrebné po aktualizácii reštartovať.

Pokiaľ aktualizácia nie je možná, zraniteľnosť sa dá mitigovať blokovaním prichádzajúcej sieťovej premávky na porty 8530 s 8531, okrem legitímnych zdrojov ako serverov Microsoft Update.

Pokiaľ je rola WSUS vypnutá (štandardné nastavenie), server nie je zraniteľný.

Indikátory kompromitácie:

Logy

• C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log
  • System.Data.DataSet.DeserializeDataSetSchema (SerializationInfo, StreamingContext)
  • System.Runtime.Serialization.ObjectManager.DoFixups()
  • System.Runtime.Serialization.ObjectManager.CompleteISerializableObject
  • System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation.
  • ErrorWsusService.9HmtWebServices.CheckReportingWebServiceReporting WebService WebException:System.Net.WebException: Unable to connect to the remote server
• C:\inetpub\logs\LogFiles\W3SVC*\u_ex*.log
  • POST /ReportingWebService/ReportingWebService.asmx (get_server_id)
  • POST /SimpleAuthWebService/SimpleAuth.asmx (get_auth_cookie)
  • POST /ClientWebService/Client.asmx (get_reporting_cookie)
  • POST /ReportingWebService/ReportingWebService.asmx (send_malicious_event)
  • POST /ApiRemoting30/WebService.asmx
  • POST /ReportingWebService/ReportingWebService.asmx – 8530 – <IPv4> Windows-Update-Agent – 200

Príkazy

• whoami;net user /domain
• net user /domain; ipconfig /all

Pre detekciu zneužitia zraniteľnosti existuje verejne dostupné pravidlo Sigma.

Odkazy:

• https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
• https://hawktrace.com/blog/CVE-2025-59287-UNAUTH