Критическая уязвимость в Microsoft WSUS активно эксплуатируется злоумышленниками

Проблема была впервые обнаружена 14 октября 2025 года, когда в ходе регулярного ежемесячного обновления безопасности Microsoft выпустила первоначальный патч. Однако, как выяснилось позже, это исправление не полностью устраняло уязвимость, что вынудило компанию выпустить внеочередное экстренное обновление 23 октября. Уже в течение нескольких часов после его публикации исследователи безопасности из Unit 42 и других компаний зафиксировали активные попытки эксплуатации уязвимости в реальных условиях.

С технической точки зрения уязвимость заключается в небезопасной десериализации непроверенных данных. Специалисты выявили несколько векторов атаки, включая отправку специально сформированного запроса к конечной точке GetCookie(), что заставляет сервер неправильно обрабатывать объект AuthorizationCookie с использованием небезопасного BinaryFormatter. Другой путь атаки нацелен на ReportingWebService для запуска небезопасной десериализации через SoapFormatter. В обоих случаях удаленный злоумышленник без аутентификации может обмануть систему и выполнить вредоносный код с правами самого высокого уровня - системными привилегиями.

Особую опасность этой уязвимости придает тот факт, что WSUS является фундаментальным инструментом для ИТ-администраторов, обеспечивающим централизованное управление и распространение обновлений продуктов Microsoft в корпоративных сетях. Его роль в качестве доверенного источника программных исправлений делает компрометацию сервера WSUS особенно ценной для злоумышленников, поскольку это предоставляет им плацдарм для последующего перемещения по сети и широкомасштабной компрометации инфраструктуры.

Анализ наблюдаемых атак показывает последовательную методику, сфокусированную на получении первоначального доступа и проведении разведки внутренней сети. Злоумышленники нацеливаются на публично доступные экземпляры WSUS на стандартных TCP-портах 8530 (HTTP) и 8531 (HTTPS). После успешной эксплуатации выполняются вредоносные команды PowerShell через определенные родительские процессы. Наблюдаемые цепочки процессов включают wsusservice.exe → cmd.exe → cmd.exe → powershell.exe и w3wp.exe → cmd.exe → cmd.exe → powershell.exe.

Начальная полезная нагрузка выполняет команды для сбора информации о внутренней сетевой среде, включая whoami, net user /domain и ipconfig /all. Этот первоначальный набор команд предназначен для быстрого картографирования структуры внутреннего домена и идентификации учетных записей пользователей с высокими привилегиями, предоставляя злоумышленнику немедленную схему для последующего перемещения по сети. Собранная информация передается на удаленный контролируемый злоумышленником endpoint Webhook.site с использованием полезной нагрузки PowerShell, которая пытается выполнить Invoke-WebRequest и возвращается к curl.exe при необходимости.

Серьезность ситуации подчеркивается тем, что Агентство кибербезопасности и инфраструктурной безопасности США (CISA) уже 24 октября добавило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), что указывает на непосредственный риск. Исследователи из Cortex Xpanse идентифицировали приблизительно 5500 экземпляров WSUS, открытых для доступа из интернета, что предоставляет конкретную метрику глобальной поверхности атаки.

Для организаций, которые не могут немедленно развернуть экстренные исправления, Microsoft рекомендует временные обходные решения для снижения риска. Эти меры следует рассматривать как промежуточные решения до завершения установки патчей. На текущий момент руководство состоит из следующих мер mitigation: отключение роли сервера WSUS, что полностью устраняет вектор атаки, но предотвращает возможность управления и распространения обновлений на клиентские системы; блокировка всего входящего трафика на TCP-порты 8530 и 8531 на хостовом межсетевом экране, что также устраняет вектор атаки, но аналогично влияет на функциональность сервера.

Данная уязвимость и последующая ее weaponization служат иллюстрацией того, как сбои конфигурации позволяют осуществлять эксплуатацию. Хотя уязвимость WSUS предоставляет технический вектор атаки, ее потенциально серьезное воздействие является прямым следствием недостатков в security hygiene. Подверженность внутренней службы, такой как WSUS, публичному интернету представляет собой значительную misconfiguration, которая превращает локальную уязвимость сервера в потенциальную общеорганизационную компрометацию цепочки поставок. Это подчеркивает, что тщательное управление активами и дисциплинированная сегментация сети являются критически важными элементами контроля безопасности, необходимыми для предотвращения эскалации изолированных недостатков в системные нарушения организации.

URLs

• http://webhook.site/22b6b8c8-2e07-4878-a681-b772e569aa6a