微軟在10月例行更新(Patch Tuesday)當中,公布Windows Server Update Services(WSUS)遠端程式碼執行(RCE)漏洞CVE-2025-59287,本週傳出微軟發布額外的修補程式,並傳出有人根據已經公布的概念驗證程式碼(PoC),將這項漏洞用於攻擊行動。
10月24日微軟更新資安公告的內容,呼籲用戶要儘速套用他們在23日、24日發布的緊急更新,若是無法即時修補,用戶應該停用WSUS的功能,並封鎖主機防火牆8530埠和8531埠的流入流量因應。
CVE-2025-59287為重大層級的漏洞,CVSS風險評為9.8分(滿分10分),影響啟用WSUS服務的Windows Server,一旦遭到利用,攻擊者就有機會在未經身分驗證的情況下,傳送特製的事件,在特定的序列化機制裡觸發不安全的物件反序列化行為,從而達到遠端執行任意程式碼的目的。
上述的情況是否代表漏洞已遭到利用?雖然微軟在資安公告裡僅提及,這項漏洞被利用的可能性相當高,並未說明這項漏洞是否已被用於攻擊,然而,10月24日已有兩家資安業者(Eye Security與Huntress)發現相關活動,而且,美國網路安全暨基礎設施安全局(CISA)也將此漏洞列入已遭利用的漏洞名單(KEV),並要求聯邦機構限期在11月14日完成修補。
首先,資安業者HawkTrace在10月18日發布漏洞細節及概念驗證(PoC),24日Eye Security透過職場社群網站LinkedIn警告,有人針對全球WSUS伺服器積極利用這項漏洞,而且也得逞。根據該公司的掃描結果,全球約有2,500臺WSUS伺服器可直接透過網際網路存取,其中約有100臺在荷蘭、約250臺在德國,呼籲企業應儘速採取行動因應。
另一家資安廠商Huntress,在UTC時間10月23日23時34分左右,發現有人尋找TCP 8530埠與8531埠曝露於網際網路的WSUS伺服器,試圖利用CVE-2025-59287。攻擊者先對這些伺服器傳送特製的請求,其中包含多種WSUS網頁服務的POST呼叫,觸發更新服務的反序列化現象,以便進行RCE攻擊。
接著,攻擊者透過WSUS服務及IIS主機的處理程序,產生命令列及PowerShell的子程序,然後藉由PowerShell解開經Base64處理的有效酬載並執行。此有效酬載的功能,就是找出網路環境的所有伺服器與使用者的資訊,然後將結果擷取到遠端的Webhook。
荷蘭國家網路安全中心(NCSC-NL)也發出警告,表示他們掌握該漏洞遭到積極利用的情況,呼籲企業不要將WSUS服務直連網際網路,也應該套用微軟發布的額外更新程式因應。
值得留意的是,去年9月微軟宣布將棄用WSUS,不再開發及接受新功能的請求,但仍為Windows Server 2025提供相關功能及支援,並透過WSUS遞送相關更新,以及藉由該系統發布的任何內容。
熱門新聞
2025-11-12
2025-11-10
2025-11-12
2025-11-10
2025-11-10
2025-11-12