Atacatorii exploateaza acum o vulnerabilitate critica a serviciului Windows Server Update Service (WSUS), care are deja un cod de exploit public disponibil.
Cunoscuta sub numele de CVE-2025-59287, aceasta vulnerabilitate de executie de cod la distanta (RCE) afecteaza doar serverele Windows cu rolul de WSUS Server activat pentru a actiona ca sursa de actualizare pentru alte servere WSUS din organizatie (o caracteristica care nu este activata implicit).
Actorii de amenintare pot exploata aceasta vulnerabilitate la distanta in atacuri de complexitate redusa care nu necesita privilegii sau interactiune de utilizator, permitandu-le sa ruleze coduri malitioase cu privilegii de sistem. In aceste conditii, defectul de securitate ar putea fi, de asemenea, potential wormabil intre serverele WSUS.
Joi, Microsoft a lansat actualizari de securitate out-of-band pentru toate versiunile afectate de Windows Server pentru a „aborda in mod cuprinzator CVE-2025-59287,” si a sfatuit administratorii IT sa le instaleze cat mai curand posibil.
Microsoft a impartasit, de asemenea, solutii de rezolvare pentru administratorii care nu pot implementa imediat patch-urile de urgenta, inclusiv dezactivarea rolului de WSUS Server pe sistemele vulnerabile pentru a elimina vectorul de atac.
In weekend, firma de securitate cibernetica HawkTrace Security a lansat un cod de exploit proof-of-concept pentru CVE-2025-59287 care nu permite executia arbitrara a comenzilor.
Firma olandeza de securitate cibernetica Eye Security a raportat mai devreme astazi ca a observat deja scanari si incercari de exploatare in aceasta dimineata, cu cel putin unul dintre sistemele clientilor sai compromise folosind un alt exploit decat cel impartasit de Hawktrace in weekend.
De asemenea, in timp ce serverele WSUS nu sunt de obicei expuse online, Eye Security spune ca a descoperit aproximativ 2.500 de instante la nivel mondial, inclusiv 250 in Germania si aproximativ 100 in Olanda.
Compania americana de securitate cibernetica Huntress a gasit, de asemenea, dovezi ale atacurilor CVE-2025-59287 care vizeaza instantele WSUS cu porturile lor implicite (8530/TCP si 8531/TCP) expuse online incepand de joi, 23 octombrie.
„Ne asteptam ca exploatarea CVE-2025-59287 sa fie limitata; WSUS nu este adesea expunand porturile 8530 si 8531. Prin partenerii nostri, am observat ~25 de gazde susceptibile,” a declarat Huntress.
In atacurile observate de Huntress, actorii de amenintare au executat o comanda PowerShell care a efectuat recunoasterea domeniului Windows intern, care a fost apoi trimisa catre un webhook.
Aceste date au inclus iesirea din urmatoarele comenzi:
Centrul National Olandez de Securitate Cibernetica (NCSC-NL) a confirmat constatarile celor doua companii astazi, avertizand administratorii cu privire la riscul crescut avand in vedere ca un exploit PoC este deja disponibil.
„NCSC a aflat de la un partener de incredere ca exploatarea vulnerabilitatii cu identificatorul CVE-2025-59287 a fost observata pe 24 octombrie 2025,” a avertizat NCSC-NL intr-o informare de vineri.
„Nu este practica comuna ca un serviciu WSUS sa fie accesibil public prin internet. Codul public de concept pentru vulnerabilitate este acum disponibil, crescand riscul de exploatare.”
Microsoft a clasificat CVE-2025-59287 drept „Exploatarea Mai Probabila,” indicand ca este o tinta atractiva pentru atacatori; cu toate acestea, nu si-a actualizat inca informarea pentru a confirma exploatarea activa.
Actualizare 24 octombrie, 13:51 EDT: Adaugate mai multe detalii despre exploatarea activa de la Huntress Labs.
46% dintre mediile de lucru au avut parole sparte, aproape dublandu-se fata de 25% anul trecut.
Obtine acum Raportul Picus Blue 2025 pentru o privire cuprinzatoare asupra mai multor descoperiri privind tendintele de prevenire, detectare si exfiltrare a datelor.
Patch-urile de urgenta pentru Windows Server rezolva bug-ul WSUS cu exploit PoC
Atacurile Sharepoint ToolShell au vizat organizatii de pe patru continente
Hackerii exploateaza zero-day in software-ul de partajare de fisiere Gladinet
Samsung rezolva zero-day-ul activ exploata de WhatsApp
Aproape 50.000 de firewall-uri Cisco vulnerabile la defecte exploatate activ
Leave a Reply