新修补的 Microsoft WSUS 关键漏洞正受到积极利用
微软紧急发布带外安全更新,修复高危漏洞 CVE-2025-59287(CVSS 9.8),该漏洞影响 Windows 服务器更新服务 (WSUS),已被公开利用。漏洞源于 WSUS 中 AuthorizationCookie 对象的不安全反序列化,攻击者可远程执行代码并获取 SYSTEM 权限。研究人员发现攻击者通过端口 8530/8531 投递 .NET 有效载荷并执行命令。微软已重新发布补丁覆盖多版本 Windows Server,CISA 要求联邦机构于 11 月 14 日前完成修复。
微软周四发布了带外安全更新,以修补严重程度极高的 Windows 服务器更新服务 (WSUS) 漏洞,该漏洞具有公开的概念验证 (Poc) 漏洞,并且已在野外遭到积极利用。
该漏洞编号为CVE-2025-59287(CVSS 评分:9.8),是 WSUS 中的一个远程代码执行漏洞,最初由该科技巨头在上周发布的补丁星期二更新中修复。
三位安全研究人员 MEOW、f7d8c52bec79e42795cf15888b85cbad 和 CODE WHITE GmbH 的 Markus Wulftange 因发现并报告该漏洞而受到表彰。
该缺陷涉及 WSUS 中不受信任数据的反序列化,允许未经授权的攻击者通过网络执行代码。值得注意的是,该漏洞不会影响未启用 WSUS 服务器角色的 Windows 服务器。
DFIR 保留服务
在假设的攻击场景中,远程未经身份验证的攻击者可以发送精心设计的事件,触发“传统序列化机制”中不安全的对象反序列化,从而导致远程代码执行。
HawkTrace 安全研究员 Batuhan Er表示,该问题“源于发送到 GetCookie() 端点的 AuthorizationCookie 对象的不安全反序列化,其中加密的 cookie 数据使用 AES-128-CBC 解密,随后通过 BinaryFormatter 反序列化,而没有经过适当的类型验证,从而能够以 SYSTEM 权限执行远程代码。”
值得注意的是,微软此前曾建议开发人员停止使用 BinaryFormatter 进行反序列化,因为该方法在处理不受信任的输入时并不安全。BinaryFormatter 的实现随后于 2024 年 8 月从 .NET 9 中删除。
通过 CVE-2025-59287 部署的 .NET 可执行文件
雷德蒙德在更新中表示:“为了全面解决 CVE-2025-59287,微软已为以下受支持的 Windows Server 版本发布了带外安全更新:Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2022、23H2 版(服务器核心安装)和 Windows Server 2025。 ”
安装补丁后,建议重启系统以使更新生效。如果无法使用带外更新,用户可以采取以下任一措施来防范此漏洞:
禁用服务器中的 WSUS 服务器角色(如果已启用)
阻止主机防火墙上端口 8530 和 8531 的入站流量
微软警告说:“在安装更新之前,请勿撤消这些解决方法。”
荷兰国家网络安全中心 (NCSC)表示,它从“一位值得信赖的合作伙伴”处获悉,2025 年 10 月 24 日发现了 CVE-2025-59287 的滥用现象。
Eye Security 已向 NCSC-NL 通报了该漏洞的野外利用情况,并表示其首次发现该漏洞是在 UTC 时间上午 06:55 被利用,攻击者利用该漏洞投放了一个 Base64 编码的有效载荷,该载荷针对的是某位未具名客户。该有效载荷是一个 .NET 可执行文件,“它获取值‘aaaa’请求标头,并使用 cmd.exe 直接运行它”。
Eye Security 首席技术官 Piet Kerkhofs 向 The Hacker News 表示:“这是发送到服务器的有效负载,它使用名为‘aaaa’的请求标头作为要执行的命令的来源。这样可以避免命令直接出现在日志中。”
当被问及漏洞利用是否可能在今天之前发生时,Kerkhofs 指出“HawkTrace 的 PoC 两天前就发布了,它可以使用标准的 ysoserial .NET 有效负载,所以是的,漏洞利用的部分就在那里。”
网络安全公司 Huntress 还表示,自 UTC 时间 2025 年 10 月 23 日 23:34 左右开始,检测到威胁行为者开始针对 WSUS 实例公开暴露在其默认端口(8530/TCP 和 8531/TCP)上的攻击。然而,该公司指出,鉴于 WSUS 并不经常暴露 8530 和 8531 端口,CVE-2025-59287 的利用可能较为有限。
CIS 构建套件
报告称: “攻击者利用暴露的 WSUS 端点发送特制的请求(对 WSUS Web 服务的多次 POST 调用),从而触发针对更新服务的反序列化 RCE。”
该漏洞活动导致 WSUS 工作进程生成“cmd.exe”和 PowerShell 实例,从而导致下载和执行 Base64 编码的 PowerShell 负载,目的是枚举暴露的服务器以获取网络和用户信息,并将结果泄露给攻击者控制的 webhook[.]site URL。
当记者联系到微软发言人寻求评论时,他告诉该出版物:“我们发现初始更新未能完全缓解该问题,因此重新发布了此 CVE。已安装最新更新的客户已经受到保护。”
该公司还强调,该问题不会影响未启用WSUS 服务器角色的服务器,并建议受影响的客户遵循其CVE 页面上的指导。
鉴于 PoC 漏洞的可用性以及检测到的利用活动,用户必须尽快应用补丁以缓解威胁。美国网络安全和基础设施安全局 (CISA) 也已将该漏洞添加到其已知被利用漏洞 ( KEV ) 目录中,要求联邦机构在 2025 年 11 月 14 日之前修复该漏洞。
关于作者
评论0次