Эксплойт для уязвимости десериализации в Windows Server Update Services (WSUS) под идентификатором CVE-2025-59287 активно используется злоумышленниками в реальных атаках. Об этом свидетельствует инцидент, зафиксированный специалистами по кибербезопасности при анализе подозрительной активности на сервере обновлений одного из клиентов.
Описание
Тревожным сигналом стало срабатывание системы обнаружения и реагирования конечных точек (EDR), зафиксировавшей выполнение утилиты whoami.exe с родительским процессом w3wp.exe. Такая картина обычно указывает на наличие вредоносного веб-шелла ASPX. Особенность ситуации заключалась в том, что сервер WSUS, который по рекомендациям безопасности не должен быть доступен из интернета, фактически имел собственный субдомен и был открыт для внешних подключений.
Выполнение команды whoami является явным признаком либо тестирования на проникновение, либо ручной разведывательной деятельности злоумышленника. Анализ временных меток в телеметрии EDR показал, что команды выполнялись с интервалами в несколько секунд, что характерно для ручного ввода, а не для автоматизированного скрипта.
Уязвимость CVE-2025-59287 представляет собой ошибку десериализации, позволяющую выполнить код без аутентификации. Изначальный proof-of-concept демонстрировал запуск калькулятора, но не предоставлял возможности произвольного выполнения команд. Однако в реальной атаке злоумышленники значительно доработали эксплойт.
Изучение лог-файлов сервера из директории %ProgramFiles%\Update Services\LogFiles\SoftwareDistribution.log выявило критическую ошибку десериализации с исключением ThreadAbortException. Анализ стека вызовов показал обработку SOAP-запроса к эндпоинту ClientWebService/client.asmx на портах 8530 или 8531. В данных запроса содержалась последовательность в кодировке base64, которая при декодировании раскрыла цепочку гаджетов ysoserial.net, вероятно ActivitySurrogateSelector, со встроенным исполняемым PE-файлом.
Исследование полезной нагрузки показало, что это .NET приложение, которое извлекает значение из HTTP-заголовка "aaaa" и выполняет его непосредственно через cmd.exe. Этот механизм полностью соответствовал наблюдаемой в EDR активности. Код создает новый процесс cmd.exe с аргументами из заголовка запроса, перенаправляет стандартный вывод и возвращает результат выполнения команды через HTTP-ответ.
Параллельно с расследованием инцидента специалисты провели сканирование интернета с использованием платформ Shodan и Fofa для оценки масштабов угрозы. Было обнаружено примерно 8000 серверов WSUS, доступных через порты 8530 и 8531. Хотя не все из них обязательно уязвимы, такое количество потенциальных целей представляет серьезную опасность.
Рекомендации по защите включают немедленную установку внеочередного патча KB5070883, закрывающего уязвимость CVE-2025-59287. Крайне важно обеспечить, чтобы серверы WSUS не были доступны из интернета, если это не абсолютно необходимо для выполнения бизнес-задач. Организациям следует развернуть современные решения EDR с обязательным подключением человеческого фактора для анализа оповещений.
Данный инцидент демонстрирует, как быстро злоумышленники адаптируют недавно раскрытые уязвимости для реальных атак, часто значительно совершенствуя первоначальные концепции эксплуатации. Сочетание эксплойта десериализации с возможностью выполнения произвольных команд создает серьезную угрозу для организаций, использующих уязвимые версии WSUS.
Индикаторы компрометации
SoftwareDistribution.log
| 1 2 | SoapUtilities.CreateException ThrowException: actor = https://host:8531/ClientWebService/client.asmx -> Error thrown in SoftwareDistribution.log after exploitation AAEAAAD/////AQAAAAAAAAAEAQAAAH9 -> Part of the serialized payload, found in SoftwareDistribution.log |
IPv4
- 207.180.254.242
SHA256
- ac7351b617f85863905ba8a30e46a112a9083f4d388fd708ccfe6ed33b5cf91d
