Rilevazione di CVE-2025-59287: Una Critica Vulnerabilità RCE Non Autenticata in Microsoft WSUS Sotto Sfruttamento Attivo

[post-views]
Ottobre 30, 2025 · 7 min di lettura
Rilevazione di CVE-2025-59287: Una Critica Vulnerabilità RCE Non Autenticata in Microsoft WSUS Sotto Sfruttamento Attivo

A seguito delle recenti divulgazioni delle vulnerabilità RCE di Tomcat (CVE-2025-55752 e CVE-2025-55754), i ricercatori hanno identificato un’altra falla critica RCE in Microsoft Windows Server Update Services (WSUS). La vulnerabilità tracciata come CVE-2025-59287 permette ad avversari remoti di eseguire codice sui sistemi colpiti ed è attualmente sfruttata in attacchi selvaggi, con un exploit PoC disponibile pubblicamente. 

Rileva Tentativi di Sfruttamento di CVE-2025-59287

Con più di 1,4 miliardi di dispositivi alimentati da Windows e milioni di organizzazioni che si affidano ad Azure e Microsoft 365, le tecnologie Microsoft formano la spina dorsale del mondo digitale odierno. Secondo il Rapporto sulle Vulnerabilità Microsoft 2025 di BeyondTrust, nel 2024 sono state segnalate un record di 1.360 vulnerabilità di sicurezza in prodotti Microsoft, un aumento dell’11% rispetto al precedente picco. Questo aumento evidenzia la rapida espansione della superficie d’attacco e rinforza la necessità per le organizzazioni di rimanere proattive con l’evoluzione delle minacce informatiche.

La vulnerabilità CVE-2025-59287 recentemente identificata in Microsoft WSUS è un chiaro esempio di questa tendenza crescente, ricordando ai team di sicurezza che una difesa proattiva è essenziale per restare un passo avanti alle minacce moderne.

Registrati ora sulla piattaforma SOC Prime per accedere a una vasta raccolta di contenuti su misura per il rilevamento e l’intelligenza artificiale in origine, aiutando il tuo team a superare le campagne offensive che sfruttano CVE-2025-59287. Premi il Esplora Rilevazioni pulsante qui sotto per approfondire immediatamente uno stack di rilevamento rilevante.

Esplora Rilevazioni

Per una gamma più ampia di contenuti SOC per il rilevamento dello sfruttamento delle vulnerabilità, gli ingegneri di sicurezza possono anche applicare il tag “CVE”.

Tutte le regole sono compatibili con formati multipli di SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK® . Inoltre, ogni regola è arricchita con CTI link, cronologie degli attacchi, configurazioni di audit, raccomandazioni per il triage e contesto rilevante.

Gli ingegneri di sicurezza possono anche sfruttare Uncoder AI, una IDE e co-pilota per l’ingegneria delle rilevazioni. Con Uncoder, i difensori possono trasformare istantaneamente gli IOCs in query personalizzate di ricerca, creare codice di rilevazione da rapporti di minaccia grezzi, generare diagrammi di Attack Flow, abilitare la previsione delle etichette ATT&CK, sfruttare l’ottimizzazione delle query guidata dall’intelligenza artificiale e tradurre il contenuto di rilevazione su più piattaforme. Per esempio, i difensori informatici possono generare il diagramma di Attack Flow basato sull’ultimo ricerca di Bitdefender in pochi secondi.

Visualizza il flusso di attacco dello sfruttamento di CVE-2025-59287 utilizzando Uncoder AI e basato sull'ultima ricerca di Bitdefender.

Analisi di CVE-2025-59287

I difensori hanno recentemente scoperto una nuova campagna che mira ai vulnerabili Windows Server Update Services (WSUS). Microsoft ha rilasciato un aggiornamento di sicurezza fuori banda per affrontare la nuova falla dietro gli attacchi RCE che è attualmente sfruttata attivamente nel selvaggio, con un exploit PoC pubblico già disponibile.

La falla, tracciata come CVE-2025-59287 con un punteggio CVSS di 9.8, è una vulnerabilità critica RCE. Sebbene inizialmente corretta durante il Patch Tuesday della scorsa settimana, il fornitore ha emesso un ulteriore aggiornamento a seguito di prove di sfruttamento nel mondo reale.

La falla deriva da una deserializzazione impropria di dati non fidati all’interno di WSUS. Se sfruttata con successo, questa vulnerabilità consente ad avversari remoti non autenticati di eseguire codice arbitrario con gli stessi privilegi del processo WSUS compromesso. Tale accesso può essere utilizzato per stabilire la persistenza, comunemente distribuendo una webshell, che a sua volta concede all’attaccante il pieno controllo remoto interattivo sul sistema colpito. 

La vulnerabilità risiede nel componente WSUS responsabile della gestione dell’autorizzazione e del reporting del client, specificamente all’interno del web service ClientWebService . Quando il server elabora una richiesta SOAP appositamente elaborata, solitamente diretta a un endpoint come SyncUpdates, tenta di decriptare e deserializzare un oggetto AuthorizationCookie fornito dall’attaccante utilizzando l’insicuro .NET BinaryFormatter.

. Gli attaccanti sfruttano CVE-2025-59287 incorporando una catena di oggetti malevoli all’interno del payload serializzato. Questa catena sfrutta chiamate di costruttori legittimi che, durante la deserializzazione, attivano l’esecuzione di codice arbitrario, come avviare una shell di comando o scaricare payload aggiuntivi. L’unico prerequisito per un attacco riuscito è l’accesso alla rete all’istanza WSUS vulnerabile, che è più spesso raggiungibile su porte 8530 (HTTP) o 8531 (HTTPS), sebbene siano anche possibili configurazioni utilizzando 80 o 443.

Attori delle minacce sono stati osservati nell’utilizzo della vulnerabilità per eseguire comandi tramite i processi w3wp.exe and wsusservice.exe , scaricare payload multi-stage, condurre ricognizioni e stabilire canali C2 persistenti. Queste intrusioni sembrano essere parte di campagne pre-ransomware, dove gli attaccanti automatizzano l’accesso iniziale prima di passare ad attacchi manuali, operati da esseri umani.

In particolare, sono stati osservati diversi incidenti utilizzando la webhook[.]site come un canale C2 improvvisato. Sebbene il servizio sia destinato agli sviluppatori per catturare e ispezionare payload HTTP, gli avversari sfruttano la sua facilità d’uso e gli URL usa e getta per esfiltrare output di comandi e confermare lo sfruttamento. Il traffico generato in questo modo appare spesso benigno a causa della reputazione ampia e fidata del dominio, rendendolo utile per il segnalamento post-sfruttamento furtivo.

Secondo la consulenza tecnica di Bitdefender, ci possono essere quattro potenziali scenari di attacco:

  • Nel primo, gli avversari utilizzano il processo compromesso per scaricare due file tramite PowerShell per una consegna primaria del payload, un eseguibile dcrsproxy.exe e un file compagno (rcpkg.db). La catena mostra l’avvio di w3wp.exe , che esegue i comandi di PowerShell per scaricare ed eseguire.  , che esegue i comandi di PowerShell per scaricare ed eseguire. , which runs the PowerShell download-and-execute commands. 
  • Nel successivo scenario, gli avversari eseguono whoami attraverso il processo di lavoro e dirigono l’output a curl, inviando il risultato a un webhook[.]site URL per confermare lo sfruttamento e valutare i privilegi per azioni successive, come l’escalation di privilegi o il movimento laterale. 
  • Il terzo caso d’uso coinvolge l’esfiltrazione in memoria, dove un comando PowerShell codificato viene eseguito dal processo di servizio per eseguire una routine d’esfiltrazione in memoria che raccoglie dettagli di rete e li pubblica su un webhook usa e getta, eludendo le rilevazioni della riga di comando. 
  • Infine, un altro scenario di attacco coinvolge l’uso del beaconing DNS. Gli attori delle minacce applicano il processo IIS per emettere ricerche DNS e scaricare e installare un MSI dannoso tramite msiexec, quindi raccolgono dettagli di sistema o rete per stabilire una persistenza C2 a lungo termine.

Poiché il Ruolo WSUS Server non è abilitato per impostazione predefinita sui server Windows, i sistemi senza di esso non sono vulnerabili; tuttavia, l’abilitazione del ruolo su un server non aggiornato introduce rischio. In casi in cui non è possibile installare immediatamente l’aggiornamento fuori banda del 23 ottobre 2025, Microsoft raccomanda mitigazioni temporanee della CVE come la disabilitazione del Ruolo WSUS Server — sebbene i client smetteranno di ricevere aggiornamenti — o il blocco del traffico in entrata alle porte 8530 e 8531 nel firewall dell’host per rendere WSUS non operativo, sottolineando che applicare la patch il prima possibile rimane la misura più sicura. 

La crescente frequenza e l’impatto dello sfruttamento delle vulnerabilità sottolineano la necessità di misure di sicurezza proattive e l’adesione alle migliori pratiche di cybersecurity per rafforzare le difese di un’organizzazione. L’intera suite di prodotti di SOC Prime, supportata da AI, capacità automatizzate e CTI in tempo reale, serve come soluzione a prova di futuro per aiutare le organizzazioni a superare le minacce informatiche che anticipano maggiormente.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

CVE-2025-55752 e CVE-2025-55754: Vulnerabilità di Apache Tomcat Espongono i Server ad Attacchi RCE 5 min di lettura Ultime Minacce CVE-2025-55752 e CVE-2025-55754: Vulnerabilità di Apache Tomcat Espongono i Server ad Attacchi RCE by Daryna Olyniychuk Sfruttamento di CVE-2025-61932: Una Nuova Critica Vulnerabilità di Motex LANSCOPE Endpoint Manager Utilizzata in Attacchi Reali 4 min di lettura Ultime Minacce Sfruttamento di CVE-2025-61932: Una Nuova Critica Vulnerabilità di Motex LANSCOPE Endpoint Manager Utilizzata in Attacchi Reali by Daryna Olyniychuk Vulnerabilità CVE-2025-12036: Una Nuova Critica Falla nel Motore JavaScript Chrome V8 Consente agli Attaccanti di Eseguire Codice Remoto su Sistemi Vulnerabili 5 min di lettura Ultime Minacce Vulnerabilità CVE-2025-12036: Una Nuova Critica Falla nel Motore JavaScript Chrome V8 Consente agli Attaccanti di Eseguire Codice Remoto su Sistemi Vulnerabili by Veronika Telychko
Tutte le notizie