Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Критическая уязвимость WSUS CVE-2025-59287: удалённое выполнение кода

21
3 мин
Оглавление
Источник: research.eye.security
Источник: research.eye.security

Коротко: службами обновления Windows Server (WSUS) было зафиксировано критическое предупреждение о подозрительной активности — выполнение whoami.exe с родительским процессом w3wp.exe, характерным для веб‑оболочки. Расследование показало недавно обнаруженную уязвимость CVE-2025-59287 — ошибка десериализации в WSUS, позволяющая выполнять удалённый код без аутентификации через точку доступа ClientWebService/client.asmx по портам 8530 (HTTP) и 8531 (HTTPS). Было опубликовано доказательство концепции (PoC), что делает срочное исправление критически необходимым.

Что произошло

Система мониторинга зафиксировала аномальную активность: запуск утилиты whoami.exe, у которой в качестве родителя числился процесс w3wp.exe — IIS worker process. Такая связка часто указывает на наличие веб‑оболочки (web shell) или выполнение команд через веб‑сервер. Временные метки и характер выполнения команд дали основания полагать, что злоумышленник проводил ручную разведку, а не автоматизированную атаку по заранее подготовленному сценарию.

Технические детали уязвимости

  • Идентификатор уязвимости: CVE-2025-59287.
  • Тип: ошибка десериализации, приводящая к удалённому выполнению кода (RCE) без необходимости аутентификации.
  • Вектор: обращение к сервису ClientWebService/client.asmx WSUS через порты 8530 (HTTP) или 8531 (HTTPS).
  • Доказательство концепции (PoC) было опубликовано, что облегчает эксплойтирование уязвимости злоумышленниками.

Почему это опасно

Уязвимость позволяет исполнить произвольный код на серверах WSUS, что даёт злоумышленнику широкие возможности — от удаления данных до развёртывания вторичных вредоносных нагрузок, установления каналов C2 и дальнейшего перемещения по сети. Поскольку эксплуатация не требует аутентификации, риск нарушений конфиденциальности, целостности и доступности систем чрезвычайно высок.

«Выявленная комбинация: десериализация + публичный web‑эндпоинт WSUS + PoC делает эту уязвимость особенно критичной для организаций, использующих WSUS в периметре», — комментируют исследователи.

Индикаторы компрометации (IoC) и на что обратить внимание

  • Процессы whoami.exe, cmd.exe, powershell.exe, запущенные с родителем w3wp.exe.
  • Необычные HTTP/HTTPS‑запросы к /ClientWebService/client.asmx.
  • Подключения к портам 8530 и 8531 от неизвестных IP‑адресов.
  • Логи IIS с аномальными строками в теле запросов или длинными сериализованными payload.
  • Неожиданные изменения в каталоге WSUS, появление нестандартных исполняемых файлов или web‑оболочек.

Рекомендации по защите и реагированию

Организациям, использующим WSUS, следует предпринять следующие шаги незамедлительно:

  • Применить официальные исправления и обновления от Microsoft для устранения CVE-2025-59287. Это приоритет №1.
  • Если патч недоступен, временно ограничить доступ к WSUS: блокировать входящие соединения на порты 8530/8531 на периметре или использовать фильтрацию по IP/ACL.
  • Отключить публичный доступ к ClientWebService/client.asmx, разместив доступ только во внутренней сети или через защищённый VPN.
  • Провести поиск и реагирование по IoC (см. список выше) с привлечением EDR/SIEM и специалистов по инцидентам.
  • Изолировать подозрительные хосты, собрать артефакты (логи IIS, дампы памяти процессов w3wp.exe), выполнить анализ и при необходимости восстановление из доверенных резервных копий.
  • Поменять учётные данные и ключи, которые могли быть скомпрометированы, и усилить контроль доступа к административным консолям.
  • Усилить мониторинг: правила детектирования процессов с родителем w3wp.exe, аномалий в логах WSUS/IIS, необычных сетевых соединений.

Вывод

Наличие PoC и возможность удалённого выполнения кода без аутентификации делает CVE-2025-59287 критической угрозой для организаций, эксплуатирующих WSUS. Необходимо срочно проверить инфраструктуру, закрыть доступ к уязвимым сервисам и применить актуальные обновления. Отказ от реакции повышает вероятность успешной компрометации и серьёзных бизнес‑последствий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Критическая уязвимость WSUS CVE-2025-59287: удалённое выполнение кода".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
IT (информационные технологии)
Игровые консоли
Найти тему
Колонки и аудиосистемы
VR-очки
Ноутбуки
Наушники
Электронные книги
Машинное обучение (Machine Learning)
Форум «Цифровые решения»
Технологии будущего
Гаджеты и электроника
Смартфоны
Умные часы
Камеры и фототехника
Графические планшеты
Планшеты
Фитнес-трекеры
Нейронные сети (Neural Networks)
Кибербезопасность
Социальные сети и мессенджеры
Гаджеты и электроника
5,73 млн интересуются