微软于2025年10月23日紧急发布了一项带外安全补丁,旨在解决Windows Server Update Service (WSUS) 中的一个关键漏洞——CVE-2025-59287。此漏洞允许远程代码执行,其CVSS评分高达9.8,被业界普遍认为是极其严重的风险。美国网络安全和基础设施安全局(CISA)已于周四确认,攻击者正在利用此缺陷进行野外攻击,并已将其紧急列入其“已知被利用漏洞”目录,这进一步凸显了该漏洞的紧迫性和潜在危害。
该漏洞源于WSUS对不受信任数据进行反序列化处理时的不安全性,这使得未经身份验证的攻击者能够通过网络,以系统(SYSTEM)最高权限执行任意恶意代码。包括著名网络安全公司Huntress和Eye Security在内的多家安全机构研究人员已经检测到活跃的利用尝试,这些攻击最早可追溯到UTC时间10月23日23:34左右,警示全球组织需立即采取防范措施。
多组织检测到活跃的攻击行为
网络安全公司Huntress观察到,威胁行为者正专门针对那些公共暴露在8530和8531端口上的WSUS实例发动攻击。攻击者通过执行PowerShell命令,对内部Windows域进行侦察。他们成功收集了包括登录用户名、域用户账户和网络配置在内的敏感信息,随后将这些数据秘密传输至远程网络钩子(webhooks)进行外泄。
荷兰网络安全公司Eye Security报告称,他们于UTC时间2025年10月24日06:55目睹了漏洞被利用的实例。攻击者部署了一个经过Base64编码的.NET负载,并通过一个名为“aaaa”的请求头来执行命令,以巧妙地规避日志检测。荷兰国家网络安全中心随后证实了这些发现,声明他们从一个值得信赖的合作伙伴处获悉,CVE-2025-59287的滥用行为已于2025年10月24日被观察到。
与此同时,Arctic Wolf公司则监测到一场范围更广的威胁活动,其目标也是WSUS服务器。他们观察到恶意的PowerShell脚本通过IIS工作进程被执行,这些脚本运行网络侦察命令,并将输出结果重定向到攻击者控制的域。尽管利用行为正在发生,但这家安全公司指出,由于WSUS服务器通常不直接暴露在互联网上,因此目前的利用范围仍然相对有限。
联邦机构面临11月修复期限
鉴于此漏洞的严重性,美国CISA已根据其具有约束力的操作指令,要求所有联邦机构必须在2025年11月14日之前修复此漏洞。CISA强烈建议所有组织严格遵循微软针对Windows Server Update Service远程代码执行漏洞提供的指导,并强调了未经授权的攻击者一旦获得系统权限执行远程代码所带来的巨大风险。
微软最初在其10月份的“补丁星期二”发布中尝试修复CVE-2025-59287,但随后发现最初的修补措施并不完善,这才促使了此次紧急的带外更新发布。值得注意的是,该漏洞仅影响那些启用了WSUS服务器角色(此角色默认情况下未激活)的Windows服务器。
对于那些无法立即部署补丁的组织,微软提供了一些临时缓解建议:首先是禁用WSUS服务器角色,其次是在主机防火墙上阻止流入8530和8531端口的流量。微软特别强调,管理员在安装更新之前,“不应撤销这些临时规避措施中的任何一个”,以确保安全防护的持续有效性。
