Компания Huntress зафиксировала активные атаки злоумышленников, использующих критическую уязвимость в службе Windows Server Update Services (WSUS). Уязвимость, получившая идентификатор CVE-2025-59287, позволяет выполнять произвольный код без аутентификации. Microsoft выпустила внеочередное обновление для устранения проблемы 23 октября 2025 года.
Описание
WSUS представляет собой централизованную службу распределения обновлений Microsoft для администраторов ИТ-инфраструктуры. Системы, имеющие публично доступные порты WSUS по умолчанию (8530/TCP и 8531/TCP), оказались под прицелом киберпреступников. Атака основана на уязвимости десериализации в AuthorizationCookie, что позволяет запускать вредоносные команды через специально сформированные POST-запросы к веб-сервисам WSUS.
Наблюдаемое поведение злоумышленников включало запуск командной строки (cmd.exe) и PowerShell через процессы wsusservice.exe и w3wp.exe. Цепочки процессов демонстрируют последовательное выполнение: wsusservice.exe → cmd.exe → cmd.exe → powershell.exe и аналогичную для w3wp.exe. Внедренный код в формате base64 декодировался и выполнялся в PowerShell, после чего происходило перечисление сетевых настроек и учетных записей пользователей с последующей передачей данных на удаленный веб-хук.
Для маскировки своей деятельности злоумышленники использовали прокси-сети. Команды, выполняемые в рамках атаки, включали whoami; net user /domain и net user /domain; ipconfig /all, что типично для первоначальной разведки в корпоративной среде.
Эксперты Huntress отмечают, что масштабы эксплуатации CVE-2025-59287 остаются ограниченными, поскольку WSUS редко размещается в публичном доступе. Среди партнерской базы компании было выявлено около 25 уязвимых хостов. Однако для подвергшихся атаке организаций риски включают несанкционированный доступ к критической инфраструктуре и утечку конфиденциальных данных.
В качестве индикаторов компрометации (IOC) специалисты рекомендуют проверить логи WSUS (C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log) и журналы IIS (C:\inetpub\logs\LogFiles\W3SVC*\u_ex*.log). Ключевые процессы для мониторинга - w3wp.exe и wsusservice.exe, а также их дочерние процессы cmd.exe и powershell.exe.
Для защиты от угрозы необходимо немедленно установить обновление безопасности, предоставленное Microsoft. Администраторам также следует ограничить сетевой доступ к WSUS, разрешив подключения только с доверенных хостов и заблокировав входящий трафик на порты 8530 и 8531 для всех остальных источников.
Huntress опубликовала сигма-правило для выявления подозрительной активности, связанной с дочерними процессами WSUS. Раннее обнаружение и изоляция инцидентов позволяют предотвратить эскалацию атак и минимизировать потенциальный ущерб.
Своевременное применение исправлений и усиление контроля за сетевыми настройками остаются ключевыми мерами противодействия подобным угрозам. Организациям, использующим WSUS, рекомендуется провести аудит конфигураций и убедиться в отсутствии непреднамеренного доступа к службе извне.
Индикаторы компрометации
C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log
| 1 2 3 4 5 6 7 8 9 | at System.Data.DataSet.DeserializeDataSetSchema(SerializationInfo info, StreamingContext context, at System.Runtime.Serialization.ObjectManager.DoFixups() at System.Runtime.Serialization.ObjectManager.CompleteISerializableObject System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ErrorWsusService.9HmtWebServices.CheckReportingWebServiceReporting WebService WebException:System.Net.WebException: Unable to connect to the remote server |
C:\inetpub\logs\LogFiles\W3SVC*\u_ex*.log
| 1 2 3 4 5 6 7 8 9 10 11 | POST /ReportingWebService/ReportingWebService.asmx (get_server_id) POST /SimpleAuthWebService/SimpleAuth.asmx (get_auth_cookie) POST /ClientWebService/Client.asmx (get_reporting_cookie) POST /ReportingWebService/ReportingWebService.asmx (send_malicious_event) POST /ApiRemoting30/WebService.asmx POST /ReportingWebService/ReportingWebService.asmx - 8530 - <IPv4> Windows-Update-Agent - 200 |
Observed enumeration command
| 1 2 | whoami;net user /domain net user /domain; ipconfig /all |
Sigma rule
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | title: Suspicious Windows Update Service Child id: 622c4f64-c277-424a-9a1c-80c73d7243a0 status: experimental description: Detects the activity of a suspicious child spawning from Windows Update Service (WSUS), potential CVE-2025-59287. author: Huntress Labs references: https://huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability date: 2025/10/24 modified: 2025/10/24 logsource: category: process_creation product: windows detection: selection_service: ParentImage|endswith: '\wsusservice.exe' selection_w3wp: ParentImage|endswith: '\w3wp.exe' ParentCommandLine|contains: 'wsuspool' Image|endswith: '\cmd.exe' condition: selection_service or selection_w3wp falsepositives: - Should be low false positivies... nothing should spawn from wsusservice.exe |
