SOC Prime Bias: Критично

27 Oct 2025 09:11
newspaper icon Huntress

CVE-2025-59287: Вразливість віддаленого виконання коду в Службах оновлення Windows Server

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
CVE-2025-59287: Вразливість віддаленого виконання коду в Службах оновлення Windows Server
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Зловмисники використовують нову вразливість виконання віддаленого коду в Microsoft Windows Server Update Services. Вразливість (CVE-2025-59287) дозволяє неавтентифікованим зловмисникам відправляти спеціально сформовані запити до WSUS на порти 8530 і 8531 для виконання коду. З експлуатованих хостів виконуються навантаження PowerShell, які перераховують системну інформацію та передають дані на зовнішні вебхуки. Цю активність було помічено у кількох клієнтських середовищах компанією Huntress.

Деталі вразливості

Huntress виявила шкідливі POST-запити до вебсервісів WSUS, що викликали десеріалізацію в AuthorizationCookie. Ланцюги процесів показали, що wsusservice.exe або w3wp.exe запускали cmd.exe та powershell.exe для виконання коду PowerShell у Base64‑форматі. Навантаження збирало дані користувача та мережі і відправляло їх на віддалений вебхук за допомогою Invoke‑WebRequest або curl. Проксі мережі використовувалися для маскування джерела зловмисників.

Вразливість вже експлуатувалась у дикій природі, і існує публічний PoC; Microsoft випустила патч поза графіком 23 жовтня 2025 року, а тимчасові заходи включають відключення ролі сервера WSUS або блокування вхідного доступу до портів управління WSUS до виправлення.

Пом’якшення

Microsoft випустила позаплановий патч для CVE-2025-59287; організації повинні негайно застосувати оновлення. Обмежте вплив, обмеживши вхідний трафік на порти WSUS 8530/TCP та 8531/TCP лише для довірених вузлів управління. Ізолюйте сервери WSUS від Інтернету і контролюйте несанкціоновані POST-запити до кінцевих точок сервісу WSUS.

mermaid graph TB %% Class definitions classDef technique fill:#99ccff classDef process fill:#ffdd99 classDef discovery fill:#ddffdd classDef exfil fill:#ffcc99 classDef c2 fill:#ff99cc %% Nodes A[“<b>Техніка</b> – <b>T1210 Експлуатація віддалених сервісів</b><br />Неавтентифікована десеріалізація WSUS на портах 8530/8531”] class A technique B[“<b>Техніка</b> – <b>T1059.003 Виконання команди</b><br />wsusservice.exe або w3wp.exe запускають cmd.exe”] class B process C[“<b>Техніка</b> – <b>T1059.001 PowerShell</b> та <b>T1027.009 Сховані файли або інформація</b><br />Навантаження у Base64-кодіруванні декодується та виконується”] class C process D1[“<b>Техніка</b> – <b>T1033 Виявлення системи і власника/користувача</b><br />Команда: whoami”] class D1 discovery D2[“<b>Техніка</b> – <b>T1087.002 Виявлення облікових записів домену</b><br />Команда: net user /domain”] class D2 discovery D3[“<b>Техніка</b> – <b>T1016 Виявлення конфігурації мережі</b><br />Команда: ipconfig /all”] class D3 discovery E[“<b>Техніка</b> – <b>T1567.004 Експлітрація через вебхук</b> через HTTP PUT (T1102.002)<br />Інструменти: Invoke‑WebRequest або curl”] class E exfil F[“<b>Техніка</b> – <b>T1090.003 Багатостойковий проксі</b> та <b>T1071.001 Веб-протоколи</b><br />Командний і контрольний трафік”] class F c2 %% Connections A u002du002d>|експлуатує| B B u002du002d>|запускає| C C u002du002d>|виконує| D1 C u002du002d>|виконує| D2 C u002du002d>|виконує| D3 D1 u002du002d>|збирає| E D2 u002du002d>|збирає| E D3 u002du002d>|збирає| E E u002du002d>|передає| F

Потік атаки

Симуляція CVE-2025-59287

Виконання симуляції

Контрольний список перед умовами: тест телеметрії та базового огляду має бути пройдено.

Пояснення: Цей розділ описує точне виконання техніки противника (TTP), створеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTPs і прагнути згенерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або неналежні приклади можуть призвести до неправильного діагнозу.

Розповідь атаки та команди:

Крок 1 – Підготувати приманковий файл WSUS:
Копіюйте легітимний системний файл (наприклад, C:WindowsSystem32wsusservice.exe зазвичай не існує, тому ми клонували cmd.exe і перейменували його, щоб імітувати вразливий сервіс.


Крок 2 – Експлуатація CVE‑2025‑59287:
Вразливість дозволяє зловмиснику надати командний рядок до служби WSUS, яка виконується з привілеями SYSTEM.
Зловмисник створює навантаження, яке викликає фейковий wsusservice.exe для запуску cmd.exe і дочірнього процесу PowerShell.


Крок 3 – Згенеруйте очікуваний ланцюг процесів:
wsusservice.exe (батьківський) → cmd.exe (дочірній) → cmd.exe (онуковий) та powershell.exe (онуковий).
Цей точний ланцюг відповідає умові selection_wsusservice правила Sigma.
Скрипт регресивного тестування:

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно