Критическая уязвимость в службах обновления Windows Server: обнаружена активная эксплуатация CVE-2025-59287

Уязвимость затрагивает механизм обработки авторизации клиентов в компоненте ClientWebService. Проблема классифицируется как небезопасная десериализация непроверенных данных (CWE-502). Атакующие отправляют специально сформированные SOAP-запросы к конечным точкам SyncUpdates, что приводит к выполнению произвольного кода в контексте процессов w3wp.exe или wsusservice.exe. Для успешной эксплуатации достаточно сетевой доступности экземпляра WSUS, который обычно работает на портах 8530 или 8531.

Наблюдаемые сценарии атак демонстрируют четкую последовательность действий: первоначальное выполнение кода, разведка и развертывание вторичных полезных нагрузок. Злоумышленники активно используют легитимный сервис webhook[.]site в качестве командного центра, что позволяет им скрывать сетевую активность благодаря репутации доверенного домена.

В одном из сценариев атаки процесс w3wp.exe инициирует загрузку исполняемого файла dcrsproxy.exe и сопутствующего файла конфигурации rcpkg.db с внешнего сервера. В другом случае выполняется команда whoami с последующей передачей результатов на внешний сервер с использованием curl.exe. Также наблюдалось использование Base64-кодированных команд PowerShell для обхода простых методов обнаружения.

Особую озабоченность вызывает сценарий D, в котором атакующие развертывают дополнительные инструменты через Windows Installer и устанавливают каналы управления с использованием DNS-биконирования. Этот метод позволяет скрывать данные в стандартных DNS-запросах и ответах, затрудняя обнаружение.

Специалисты отмечают, что данная кампания соответствует модели подготовки к ransomware-атакам (вымогательским программам). Вредоносная активность направлена на создание плацдарма для последующих человеко-управляемых операций. Компрометация WSUS представляет особую опасность, поскольку эти службы часто размещаются на контроллерах домена или других критически важных серверах.

Рекомендации по защите включают немедленное применение обновления безопасности для CVE-2025-59287. Организации, которые задержали установку исправлений, должны предполагать возможную компрометацию и инициировать расследование инцидента безопасности. Также рекомендуется усилить защиту конечных точек с использованием решений EDR/XDR, обеспечить сегментацию сети и мониторинг активности.

Эксперты подчеркивают важность обнаружения цепочек выполнения процессов w3wp.exe -> cmd -> powershell с закодированными командами, а также создания подозрительных файлов .aspx. Эти индикаторы могут свидетельствовать о successful exploitation уязвимости.

Организации должны учитывать, что начальная компрометация обычно происходит в течение первых 24 часов после публикации Proof-of-Concept кода, однако до развертывания ransomware или эксфильтрации данных может пройти некоторое время. Это окно возможностей является критически важным для предотвращения масштабных последствий атаки.

В настоящее время уязвимость активно эксплуатируется в дикой природе, что требует безотлагательных мер защиты от всех организаций, использующих Windows Server Update Services в своей инфраструктуре.

IPv4

• 129.153.98.207
• 134.122.38.84

Domains

• loglog.ac.d189493a.digimg.store
• wsus.ac.d189493a.digimg.store

URLs

• http://webhook.site/5771a289-0b13-4ee7-902a-21147cac31ef
• http://webhook.site/94f6da9d-b785-461b-bc5e-bbce7acaa35c
• http://yogswgeacbepthpjozvsf8frv90962ejy.oast.fun/check
• https://royal-boat-bf05.qgtxtebl.workers.dev/v3.msi
• https://webhook.site/0f20cd3b-e570-4205-8049-c37627af0f5c

MD5

• a0f65fcd3b22eb8b49b2a60e1a7dd31c