14 октября 2025 года корпорация Майкрософт опубликовала подробную информацию о существенной уязвимости, идентифицированной как CVE-2025-59287, затрагивающей службу обновления Windows Server (WSUS). Уязвимость классифицируется как критическая: злоумышленники, не прошедшие проверку подлинности, потенциально могут выполнить удалённый код, что ставит под угрозу конфиденциальность и доступность систем.
Ключевые выводы расследования
Расследование исследовательской группы Darktrace по изучению угроз выявило множественные попытки эксплуатации CVE-2025-59287. Авторы доклада выделяют два примечательных кейса, иллюстрирующие разные сценарии использования уязвимости в зависимости от целей злоумышленников.
Кейс 1 — систематическое использование через workers.dev
OSINT-исследование показало, что в ходе эксплойта злоумышленники использовали сервис workers.dev. Методика включала запуск скрипта для сбора сетевой информации со скомпрометированного устройства и последующую фильтрацию/ретрансляцию этих данных через указанный сервис. Характер действий указывает на повторяемый вектор первоначального доступа во множестве инцидентов.
При анализе скомпрометированной инфраструктуры в MSI-файле были найдены два Cabinet-файла с именами «Образец.cab» и «часть 2.cab». Извлечённое содержимое включало бинарный файл с именем «ServiceEXE», соответствующий легитимному инструменту DFIR Velociraptor, а также конфигурационный файл «Config». Эта конфигурация указывает на домен chat.hcqhajfv.workers.dev, что позволяет предположить использование Velociraptor в качестве коммуникационного туннеля к серверу командования и контроля (C2).
Особенно примечательно, что в конфигурации указана версия Velociraptor 0.73.4, сама по себе уязвимая к CVE-2025-6264, что создаёт риск повышения привилегий на скомпрометированных хостах.
Кейс 2 — сектор образования и интернет-экспонированный WSUS
Во втором случае, зафиксированном в образовательном секторе, исследователи обнаружили устройство, выполняющее роль сервера WSUS и доступное из интернета. Наблюдаемая сетевая активность усилила опасения: определённые отрасли, в частности образование, становятся мишенью для атак, использующих ресурсы, доступные через Интернет.
Последствия эксплуатации
Последствия использования CVE-2025-59287 многообразны и могут включать:
- целенаправленную эксфильтрацию данных;
- широкие перемещения по сети (lateral movement) с последующей полномасштабной компрометацией;
- внедрение шифровальщиков (ransomware) и другие сценарии разрушительного воздействия.
Дополнительным индикатором компрометации, связанной с наблюдаемыми операциями, служит хост royal-boat-bf05.qgtxtebl.workers.dev, который, вероятно, является частью инфраструктуры C2.
Индикаторы и артефакты, выделенные исследованием
- Уязвимости: CVE-2025-59287 (WSUS, RCE), CVE-2025-6264 (повышение привилегий в Velociraptor 0.73.4).
- Домены/хосты: chat.hcqhajfv.workers.dev, royal-boat-bf05.qgtxtebl.workers.dev.
- Файловые артефакты: «Образец.cab», «часть 2.cab», бинарный файл «ServiceEXE», конфигурационный файл «Config».
- Инструменты: Velociraptor (версия, упомянутая в конфигурации — 0.73.4).
- Сервис ретрансляции: workers.dev (использовался для фильтрации/передачи собранной информации).
Рекомендации для организаций и служб безопасности
Исходя из выявленных фактов, Darktrace и авторы отчёта подчёркивают необходимость срочных мер усиления защиты. Рекомендуется:
- приоритетно применить обновления и рекомендации Microsoft по устранению CVE-2025-59287 для всех серверов WSUS;
- проверить наличие и сетевую активность Velociraptor, особенно версий 0.73.4 и иных, известных уязвимых сборок;
- проанализировать логи и сетевые соединения на предмет обращений к workers.dev субдоменам и конкретно к chat.hcqhajfv.workers.dev и royal-boat-bf05.qgtxtebl.workers.dev;
- сканировать на предмет MSI-файлов с Cabinet-архивами и соответствующими артефактами («Образец.cab», «часть 2.cab», «ServiceEXE», «Config»);
- ограничить интернет-доступ к серверам WSUS там, где это возможно, и тщательно контролировать сервисы, доступные извне;
- при подозрении на компрометацию — изолировать хосты, провести DFIR-аналитику и при необходимости инициировать инцидент-респонс;
- включить блокировку/перехват потенциальных C2-соединений на границе сети и в средствах EDR/NGFW.
Вывод
Комбинация критической уязвимости в WSUS и отработанных приёмов злоумышленников, включая использование публичных сервисов вроде workers.dev и легитимных DFIR-инструментов в качестве туннелей связи, делает текущую угрозу особенно серьёзной. Организациям необходимо действовать быстро: применять патчи, усиливать мониторинг и реагирование, а также учитывать, что уязвимости в инструментах ответной стороны (например, Velociraptor 0.73.4) могут усиливать последствия первичной компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Майкрософт: CVE-2025-59287 в WSUS — Velociraptor и C2".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.