SOC Prime Bias: Critique

27 Oct 2025 09:11
newspaper icon Huntress

CVE-2025-59287 : Vulnérabilité d’exécution de code à distance dans Windows Server Update Services

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2025-59287 : Vulnérabilité d’exécution de code à distance dans Windows Server Update Services
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Les acteurs de la menace abusent d’une faille récemment divulguée d’exécution de code à distance dans Microsoft Windows Server Update Services. La vulnérabilité (CVE-2025-59287) permet aux attaquants non authentifiés d’envoyer des requêtes spécialement conçues aux points de terminaison WSUS sur les ports 8530 et 8531 et d’exécuter du code. Les hôtes exploités exécutent des charges utiles PowerShell qui énumèrent les informations système et exfiltrent des données vers des webhooks externes. L’activité a été observée dans plusieurs environnements clients par Huntress.

Détails de la vulnérabilité

Huntress a détecté des requêtes POST malveillantes aux services web WSUS qui ont déclenché une désérialisation dans l’AuthorizationCookie. Les chaînes de processus ont montré que wsusservice.exe ou w3wp.exe généraient cmd.exe et powershell.exe pour exécuter une commande PowerShell encodée en Base64. La charge utile recueillait des données utilisateur et réseau et les envoyait à un webhook distant via Invoke-WebRequest ou curl. Des réseaux proxy ont été utilisés pour masquer l’origine des attaquants.

Le bug a été observé exploité dans la nature et un PoC public existe ; Microsoft a émis un correctif hors bande le 23 octobre 2025, et les mesures d’atténuation temporaires incluent la désactivation du rôle de serveur WSUS ou le blocage de l’accès entrant aux ports de gestion WSUS jusqu’à ce qu’ils soient corrigés.

Atténuation

Microsoft a publié un correctif hors bande pour CVE-2025-59287 ; les organisations doivent appliquer la mise à jour immédiatement. Limitez l’exposition en restreignant le trafic entrant vers les ports WSUS 8530/TCP et 8531/TCP aux seuls hôtes de gestion de confiance. Isolez les serveurs WSUS de l’internet et surveillez les requêtes POST non autorisées vers les points de terminaison des services Web WSUS.

mermaid graph TB %% Class definitions classDef technique fill:#99ccff classDef process fill:#ffdd99 classDef discovery fill:#ddffdd classDef exfil fill:#ffcc99 classDef c2 fill:#ff99cc %% Nodes A[« <b>Technique</b> – <b>T1210 Exploitation des services à distance</b><br />Désérialisation WSUS non authentifiée sur les ports 8530/8531 »] class A technique B[« <b>Technique</b> – <b>T1059.003 Exécution de commande</b><br />wsusservice.exe ou w3wp.exe génère cmd.exe »] class B process C[« <b>Technique</b> – <b>T1059.001 PowerShell</b> et <b>T1027.009 Fichiers ou informations obfusqués</b><br />La charge utile encodée en Base64 est décodée et exécutée »] class C process D1[« <b>Technique</b> – <b>T1033 Découverte du propriétaire/utilisateur du système</b><br />Commande : whoami »] class D1 discovery D2[« <b>Technique</b> – <b>T1087.002 Découverte de comptes de domaine</b><br />Commande : net user /domain »] class D2 discovery D3[« <b>Technique</b> – <b>T1016 Découverte de la configuration réseau</b><br />Commande : ipconfig /all »] class D3 discovery E[« <b>Technique</b> – <b>T1567.004 Exfiltration via Webhook</b> via HTTP PUT (T1102.002)<br />Outils : Invoke‑WebRequest ou curl »] class E exfil F[« <b>Technique</b> – <b>T1090.003 Proxy multi‑hop</b> et <b>T1071.001 Protocoles Web</b><br />Trafic de commande et de contrôle »] class F c2 %% Connections A u002du002d>|exploite| B B u002du002d>|génère| C C u002du002d>|exécute| D1 C u002du002d>|exécute| D2 C u002du002d>|exécute| D3 D1 u002du002d>|collecte| E D2 u002du002d>|collecte| E D3 u002du002d>|collecte| E E u002du002d>|transfère| F

Flow d’attaque

Simulation CVE-2025-59287

Exécution de la simulation

Prérequis : Le contrôle pré-vol de la télémétrie et de la base de référence doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

Narratif de l’attaque et commandes :

Étape 1 – Préparer un binaire WSUS factice :
Copiez un binaire système légitime (par exemple, C:WindowsSystem32wsusservice.exe n’existe normalement pas, donc nous clonons cmd.exe et le renommons pour imiter le service vulnérable.


Étape 2 – Exploiter CVE‑2025‑59287 :
La vulnérabilité permet à un attaquant de fournir une ligne de commande au service WSUS qui est exécutée avec des privilèges SYSTÈME.
L’attaquant conçoit une charge utile qui fait que le faux wsusservice.exe lance cmd.exe et un processus PowerShell enfant.


Étape 3 – Générer la chaîne de processus attendue :
wsusservice.exe (parent) → cmd.exe (enfant) → cmd.exe (petit-enfant) et powershell.exe (petit-enfant).
Cette chaîne précise satisfait la condition selection_wsusservice de la règle Sigma.
Script de test de régression :

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement