SOC Prime Bias: Critico

27 Ott 2025 09:11
newspaper icon Huntress

CVE-2025-59287: Vulnerabilità di esecuzione di codice remoto in Windows Server Update Services

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2025-59287: Vulnerabilità di esecuzione di codice remoto in Windows Server Update Services
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

Gli attori della minaccia stanno abusando di un nuovo difetto di esecuzione di codice remoto divulgato in Windows Server Update Services di Microsoft. La vulnerabilità (CVE-2025-59287) consente ad attaccanti non autenticati di inviare richieste appositamente create agli endpoint WSUS sulle porte 8530 e 8531 e ottenere l’esecuzione del codice. Gli host sfruttati eseguono payload di PowerShell che enumerano le informazioni di sistema e esfiltrano dati verso webhook esterni. L’attività è stata osservata in diversi ambienti dei clienti da Huntress.

Dettagli della Vulnerabilità

Huntress ha rilevato richieste POST malevole ai servizi web WSUS che innescavano la deserializzazione nel AuthorizationCookie. Le catene di processo mostravano wsusservice.exe o w3wp.exe avviare cmd.exe e powershell.exe per eseguire un comando PowerShell codificato in Base64. Il payload raccoglieva dati di utenti e rete e li inviava a un webhook remoto tramite Invoke-WebRequest o curl. Venivano utilizzate reti proxy per nascondere l’origine degli attaccanti.

Il bug è stato osservato sfruttato nel mondo reale ed esiste un Proof of Concept pubblico; Microsoft ha emesso una correzione fuori band il 23 ottobre 2025 e le mitigazioni interim includono la disattivazione del ruolo Server WSUS o il blocco dell’accesso in entrata alle porte di gestione WSUS fino all’applicazione della patch.

Mitigazione

Microsoft ha rilasciato una patch fuori band per CVE-2025-59287; le organizzazioni dovrebbero applicare l’aggiornamento immediatamente. Limitare l’esposizione restringendo il traffico in entrata alle porte WSUS 8530/TCP e 8531/TCP solo agli host di gestione fidati. Isolate i server WSUS da Internet e monitorate le richieste POST non autorizzate agli endpoint dei servizi web WSUS.

mermaid graph TB %% Class definitions classDef technique fill:#99ccff classDef process fill:#ffdd99 classDef discovery fill:#ddffdd classDef exfil fill:#ffcc99 classDef c2 fill:#ff99cc %% Nodes A[“<b>Tecnica</b> – <b>T1210 Sfruttamento di Servizi Remoti</b><br />Deserializzazione WSUS non autenticata sulle porte 8530/8531”] class A technique B[“<b>Tecnica</b> – <b>T1059.003 Esecuzione Comandi</b><br />wsusservice.exe o w3wp.exe genera cmd.exe”] class B process C[“<b>Tecnica</b> – <b>T1059.001 PowerShell</b> e <b>T1027.009 File o Informazioni Offuscati</b><br />Payload codificato in Base64 è decodificato ed eseguito”] class C process D1[“<b>Tecnica</b> – <b>T1033 Scoperta Proprietario/Uso del Sistema</b><br />Comando: whoami”] class D1 discovery D2[“<b>Tecnica</b> – <b>T1087.002 Scoperta Account Dominio</b><br />Comando: net user /domain”] class D2 discovery D3[“<b>Tecnica</b> – <b>T1016 Scoperta Configurazione Rete</b><br />Comando: ipconfig /all”] class D3 discovery E[“<b>Tecnica</b> – <b>T1567.004 Esfiltrazione tramite Webhook</b> via HTTP PUT (T1102.002)<br />Strumenti: Invoke‑WebRequest o curl”] class E exfil F[“<b>Tecnica</b> – <b>T1090.003 Proxy Multi-hop</b> e <b>T1071.001 Protocolli Web</b><br />Traffico di Comando e Controllo”] class F c2 %% Connections A u002du002d>|sfrutta| B B u002du002d>|genera| C C u002du002d>|esegue| D1 C u002du002d>|esegue| D2 C u002du002d>|esegue| D3 D1 u002du002d>|raccoglie| E D2 u002du002d>|raccoglie| E D3 u002du002d>|raccoglie| E E u002du002d>|trasferisce| F

Flusso di Attacco

Simulazione CVE-2025-59287

Esecuzione della simulazione

Prerequisito: Il controllo preliminare di Telemetria e Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per innescare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e puntano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

Narrativa & Comandi dell’Attacco:

Passaggio 1 – Preparare un binario WSUS esca:
Copia un binario di sistema legittimo (ad es., C:WindowsSystem32wsusservice.exe non esiste normalmente, quindi cloniamo cmd.exe e lo rinominiamo per imitare il servizio vulnerabile.


Passaggio 2 – Sfruttare CVE-2025-59287:
La vulnerabilità consente a un attaccante di fornire una riga di comando al servizio WSUS che viene eseguita con privilegi di SISTEMA.
L’attaccante crea un payload che causa il lancio di cmd.exe e un processo figlio PowerShell del falso wsusservice.exe.


Passaggio 3 – Generare la catena di processi attesa:
wsusservice.exe (genitore) → cmd.exe (figlio) → cmd.exe (figlio del figlio) e powershell.exe (figlio del figlio).
Questa esatta catena soddisfa la condizione selection_wsusservice della regola Sigma.
Script di Test di Regressione:

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis