SOC Prime Bias: Kritisch

27 Okt. 2025 09:11
newspaper icon Huntress

CVE-2025-59287: Windows Server Update Services Remote-Code-Ausführungs-Schwachstelle

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2025-59287: Windows Server Update Services Remote-Code-Ausführungs-Schwachstelle
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Bedrohungsakteure missbrauchen eine neu offengelegte Schwachstelle zur Remote-Code-Ausführung in Microsoft Windows Server Update Services. Die Schwachstelle (CVE-2025-59287) ermöglicht es nicht authentifizierten Angreifern, gestaltete Anfragen an WSUS-Endpunkte auf den Ports 8530 und 8531 zu senden und Code auszuführen. Ausgebeutete Hosts laufen PowerShell-Loads, die Systeminformationen auflisten und Daten an externe Webhooks exfiltrieren. Die Aktivität wurde in mehreren Kundenumgebungen von Huntress beobachtet.

Details zur Sicherheitslücke

Huntress entdeckte bösartige POST-Anfragen an WSUS-Webdienste, die zu einer Deserialisierung im AuthorizationCookie führten. Prozessketten zeigten, dass wsusservice.exe oder w3wp.exe cmd.exe und powershell.exe starteten, um einen Base64‑codierten PowerShell-Befehl auszuführen. Die Nutzlast sammelte Benutzer- und Netzwerkdaten und sendete diese über Invoke‑WebRequest oder curl an einen entfernten Webhook. Proxy-Netzwerke wurden genutzt, um die Herkunft der Angreifer zu verbergen.

Der Fehler wurde in der freien Wildbahn beobachtet, eine öffentliche PoC existiert; Microsoft veröffentlichte am 23. Oktober 2025 einen außerplanmäßigen Fix, und vorübergehende Maßnahmen umfassen das Deaktivieren der WSUS-Serverrolle oder das Blockieren des eingehenden Zugriffs auf WSUS-Verwaltungsports, bis er gepatcht ist.

Minderung

Microsoft hat einen außerplanmäßigen Patch für CVE-2025-59287 veröffentlicht; Organisationen sollten das Update sofort anwenden. Begrenzen Sie die Exponierung, indem Sie den eingehenden Verkehr zu den WSUS-Ports 8530/TCP und 8531/TCP nur auf vertrauenswürdige Verwaltungshosts beschränken. Isolieren Sie WSUS-Server vom Internet und überwachen Sie unbefugte POST-Anfragen an WSUS-Webdienstendpunkte.

mermaid graph TB %% Klassendefinitionen classDef technique fill:#99ccff classDef process fill:#ffdd99 classDef discovery fill:#ddffdd classDef exfil fill:#ffcc99 classDef c2 fill:#ff99cc %% Knoten A[„<b>Technik</b> – <b>T1210 Ausnutzung von Remotediensten</b><br />Nicht authentifizierte WSUS-Deserialisierung an den Ports 8530/8531“] class A technique B[„<b>Technik</b> – <b>T1059.003 Befehlsausführung</b><br />wsusservice.exe oder w3wp.exe startet cmd.exe“] class B process C[„<b>Technik</b> – <b>T1059.001 PowerShell</b> und <b>T1027.009 Verschleierte Dateien oder Informationen</b><br />Base64-codierte Nutzlast wird dekodiert und ausgeführt“] class C process D1[„<b>Technik</b> – <b>T1033 Systembesitzer/Benutzerentdeckung</b><br />Befehl: whoami“] class D1 discovery D2[„<b>Technik</b> – <b>T1087.002 Domänenkontenerkennung</b><br />Befehl: net user /domain“] class D2 discovery D3[„<b>Technik</b> – <b>T1016 Netzwerkkonfigurationserkennung</b><br />Befehl: ipconfig /all“] class D3 discovery E[„<b>Technik</b> – <b>T1567.004 Exfiltration über Webhooks</b> via HTTP PUT (T1102.002)<br />Tools: Invoke‑WebRequest oder curl“] class E exfil F[„<b>Technik</b> – <b>T1090.003 Mehrfach-Proxy</b> und <b>T1071.001 Webprotokolle</b><br />Steuerungs- und Kontrollverkehr“] class F c2 %% Verbindungen A u002du002d>|exploits| B B u002du002d>|spawns| C C u002du002d>|executes| D1 C u002du002d>|executes| D2 C u002du002d>|executes| D3 D1 u002du002d>|collects| E D2 u002du002d>|collects| E D3 u002du002d>|collects| E E u002du002d>|transfers| F

Angriffsablauf

CVE-2025-59287-Simulation

Simulationsausführung

Voraussetzung: Der Telemetry & Baseline Pre-flight Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht relevante Beispiele führen zu Fehldiagnosen.

Angriffserzählung & Befehle:

Schritt 1 – Ein Köder-WSUS-Binary vorbereiten:
Kopieren Sie ein legitimes System-Binary (z.B. C:WindowsSystem32wsusservice.exe existiert normalerweise nicht, also klonen wir cmd.exe und benennen es um, um den anfälligen Dienst nachzuahmen.


Schritt 2 – CVE-2025-59287 ausnutzen:
Die Schwachstelle ermöglicht es einem Angreifer, eine Befehlszeile an den WSUS-Dienst zu übermitteln, die mit SYSTEM-Rechten ausgeführt wird.
Der Angreifer erstellt eine Nutzlast, die dazu führt, dass das gefälschte wsusservice.exe cmd.exe und einen untergeordneten PowerShell-Prozess startet.


Schritt 3 – Die erwartete Prozesskette erzeugen:
wsusservice.exe (Eltern) → cmd.exe (Kind) → cmd.exe (Enkel) und powershell.exe (Enkel).
Diese genaue Kette erfüllt die Auswahlbedingung selection_wsusservice der Sigma-Regel.
Regressionstestskript:

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten