CVE-2025-59287: Windows Server Update Services のリモートコード実行の脆弱性

概要

脅威アクターがMicrosoft Windows Server Update Servicesの新たに公開されたリモートコード実行の脆弱性を悪用しています。この脆弱性（CVE-2025-59287）により、認証されていない攻撃者が細工されたリクエストをポート8530および8531のWSUSエンドポイントに送信し、コード実行を達成することができます。被害に遭ったホストは、システム情報を列挙し、外部のWebhookにデータを流出させるPowerShellペイロードを実行します。この活動は、Huntressによって複数の顧客環境で観測されました。

脆弱性の詳細

HuntressはWSUS Webサービスへの悪意のあるPOSTリクエストを検出し、それがAuthorizationCookieで「逆シリアル化」を引き起こしました。プロセスチェーンは、wsusservice.exeまたはw3wp.exeがcmd.exeとpowershell.exeを生成してBase64エンコードされたPowerShellコマンドを実行することを示しました。このペイロードはユーザーデータとネットワークデータを収集し、Invoke-WebRequestまたはcurlを介してリモートWebhookに送信しました。攻撃者の出所を隠すためにプロキシネットワークが使用されました。

このバグは野放しの状態で悪用されており、公開されたPoC（概念実証）が存在します。Microsoftは2025年10月23日にバンド外の修正を行い、インタリム緩和策としてWSUSサーバロールの無効化または管理ポートへの着信アクセスのブロックを推奨しています。

緩和策

MicrosoftはCVE-2025-59287に対するバンド外のパッチをリリースしました。組織は直ちにこの更新を適用すべきです。信頼された管理ホストにのみWSUSポート8530/TCPおよび8531/TCPへの着信トラフィックを制限することで、露出を最小限に抑える必要があります。WSUSサーバをインターネットから隔離し、WSUS Webサービスエンドポイントへの許可されていないPOSTリクエストを監視してください。

CVE-2025-59287 シミュレーション

シミュレーション実行

前提条件：Telemetry & Baseline Pre-flight Checkが成功している必要があります。

根拠：このセクションは検出規則を誘発するために設計された敵対者技術（TTP）の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックに期待される正確なテレメトリを生成することを目的としています。抽象的または無関連な例は誤診に繋がります。

攻撃のナラティブとコマンド：

ステップ1 – デコイWSUSバイナリを準備する：
合法的なシステムバイナリをコピーする（例：C:WindowsSystem32wsusservice.exeは通常存在しないので、cmd.exeをクローンし、脆弱なサービスを模倣するようにリネームします。

ステップ2 – CVE-2025-59287を悪用する：
この脆弱性により攻撃者はWSUSサービスにコマンドラインを供給し、システム権限で実行されます。
攻撃者は偽のwsusservice.exeを起動してcmd.exeと子PowerShellプロセスを起動させるペイロードを作成します。

ステップ3 – 期待されるプロセスチェーンを生成する：
wsusservice.exe（親） → cmd.exe（子） → cmd.exe（孫）とpowershell.exe（孫）。
この正確なチェーンがSigma規則のselection_wsusservice条件を満たします。
回帰テストスクリプト：