2025年10月23日,微软紧急发布了一项带外安全补丁,以修复Windows服务器更新服务(WSUS)中一个名为CVE-2025-59287的严重漏洞。该漏洞允许远程代码执行,CVSS评分高达9.8。美国网络安全和基础设施安全局(CISA)于周四证实,攻击者已在野外积极利用此漏洞,并已将其列入CISA的已知被利用漏洞目录中,警示各组织立即采取行动。
此漏洞源于WSUS对不可信数据进行不安全的反序列化处理。未经身份验证的攻击者能够通过网络执行恶意代码,并获得SYSTEM级别的系统最高权限。包括Huntress和Eye Security在内的多家安全公司的研究人员已发现,针对此漏洞的活跃攻击尝试最早于10月23日协调世界时23:34左右开始。
多组织检测到活跃漏洞利用活动
网络安全公司Huntress监测到威胁行为者正在针对通过端口8530和8531公开暴露的WSUS实例发起攻击。攻击者执行PowerShell命令,对内部Windows域进行侦察,收集了包括已登录用户名、域用户账户以及网络配置等敏感信息,随后将数据外泄至远程Webhooks。
荷兰网络安全公司Eye Security报告称,于10月24日协调世界时06:55观察到漏洞利用活动。攻击者部署了一个Base64编码的.NET负载,通过名为’aaaa’的请求头执行命令,以此规避日志检测。荷兰国家网络安全中心(NCSC)证实了这些发现,并声明该机构“从一个值得信赖的合作伙伴处获悉,CVE-2025-59287的滥用情况已于2025年10月24日被发现”。
安全公司Arctic Wolf也检测到了一场更广泛的针对WSUS服务器的威胁活动,观察到恶意PowerShell脚本通过IIS工作进程执行网络侦察命令,并将输出重定向到攻击者控制的域。该公司指出,尽管漏洞正在被利用,但由于WSUS服务器通常不会直接暴露在互联网上,因此目前的利用范围仍然有限。
联邦机构面临11月修复期限
CISA已根据其具有约束力的操作指令,强制要求联邦机构在2025年11月14日之前修复此漏洞。该机构强烈建议所有组织遵循微软针对Windows服务器更新服务远程代码执行漏洞发布的指导,并强调未经授权的攻击者获取系统最高权限执行远程代码的巨大风险。
微软最初在其10月“补丁星期二”更新中尝试修复CVE-2025-59287,但随后公司认定最初的修复并不完善,因此促使了此次紧急的带外更新。此漏洞仅影响那些已启用WSUS服务器角色的Windows服务器,而该角色默认情况下并未激活。
对于无法立即部署补丁的组织,微软建议采取临时措施:禁用WSUS服务器角色,并在主机防火墙上阻止流向端口8530和8531的入站流量。微软强调,管理员在安装更新之前,“不应撤销任何这些临时解决方案”。
