北京
攻擊者目前正利用Windows服務器更新服務(WSUS)的一個高危漏洞發起攻擊,該漏洞的概念驗證(PoC)利用代碼已公開。
該漏洞編號為CVE-2025-59287,屬于遠程代碼執行漏洞,僅影響一類Windows服務器——需啟用“WSUS服務器角色”,且作為組織內部其他WSUS服務器的更新源(此功能默認未開啟)。
威脅者可通過低復雜度攻擊遠程利用該漏洞,無需權限驗證或用戶交互,即可獲得SYSTEM權限(系統最高權限)并執行惡意代碼。在此情況下,該安全漏洞還可能在WSUS服務器之間形成蠕蟲式傳播。
微軟目前針對所有受影響的Windows Server版本發布了非常規安全更新(非“補丁星期二”常規更新),以“全面修復CVE-2025-59287漏洞”,并建議IT管理員盡快安裝,具體補丁如下:
-Windows Server 2025(補丁編號KB5070881)
-Windows Server 23H2版本(補丁編號KB5070879)
-Windows Server 2022(補丁編號KB5070884)
-Windows Server 2019(補丁編號KB5070883)
-Windows Server 2016(補丁編號KB5070882)
-Windows Server 2012 R2(補丁編號KB5070886)
-Windows Server 2012(補丁編號KB5070887)
對于無法立即部署緊急補丁的管理員,微軟還提供了臨時緩解方案,包括在受影響系統上禁用WSUS服務器角色,以消除攻擊路徑。
隨后,網絡安全公司HawkTrace Security發布了CVE-2025-59287的概念驗證利用代碼,但該代碼暫不支持執行任意命令。
在野攻擊已出現:多國監測到掃描與入侵行為
1. 荷蘭Eye Security:全球超2500臺設備暴露,部分系統遭入侵
荷蘭網絡安全公司Eye Security報告稱,已監測到針對該漏洞的掃描與利用嘗試,其至少一名客戶的系統已被入侵——攻擊者使用的利用工具與HawkTrace周末發布的版本不同。
該公司還指出,盡管WSUS服務器通常不會暴露在公網,但全球仍有約2500臺此類設備可被公網訪問,其中德國約250臺、荷蘭約100臺。
2. 美國Huntress:10月23日起出現針對性攻擊,聚焦暴露默認端口的設備
美國網絡安全公司Huntress發現,自10月23日起,已有攻擊者針對公網暴露默認端口(8530/TCP和8531/TCP)的WSUS設備發起CVE-2025-59287攻擊。
該公司監測到的攻擊中,威脅者執行了PowerShell偵察命令,收集內部Windows域信息并通過網絡鉤子發送,收集的數據包括以下命令輸出:
-whoami:當前登錄用戶名
-net user /domain:列出Windows域內所有用戶賬戶
-ipconfig /all:顯示所有網絡接口的配置信息
3. 荷蘭國家網絡安全中心(NCSC-NL):證實攻擊存在,風險持續升高
荷蘭國家網絡安全中心證實了上述兩家公司的發現,并在預警中提醒管理員。該機構強調:“WSUS服務通常不會通過公網開放訪問,但目前該漏洞的公開概念驗證代碼已出現,導致利用風險顯著上升。”
目前,微軟已將CVE-2025-59287的風險等級定為“極可能被利用”,表明該漏洞對攻擊者具有較強吸引力;不過截至目前,微軟尚未更新安全公告以確認該漏洞已遭在野利用。
參考及來源:https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-windows-server-wsus-flaw-in-attacks/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
