フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
脅威アクターがMicrosoft Windows Server Update Servicesの新たに公開されたリモートコード実行の脆弱性を悪用しています。この脆弱性(CVE-2025-59287)により、認証されていない攻撃者が細工されたリクエストをポート8530および8531のWSUSエンドポイントに送信し、コード実行を達成することができます。被害に遭ったホストは、システム情報を列挙し、外部のWebhookにデータを流出させるPowerShellペイロードを実行します。この活動は、Huntressによって複数の顧客環境で観測されました。
脆弱性の詳細
HuntressはWSUS Webサービスへの悪意のあるPOSTリクエストを検出し、それがAuthorizationCookieで「逆シリアル化」を引き起こしました。プロセスチェーンは、wsusservice.exeまたはw3wp.exeがcmd.exeとpowershell.exeを生成してBase64エンコードされたPowerShellコマンドを実行することを示しました。このペイロードはユーザーデータとネットワークデータを収集し、Invoke-WebRequestまたはcurlを介してリモートWebhookに送信しました。攻撃者の出所を隠すためにプロキシネットワークが使用されました。
このバグは野放しの状態で悪用されており、公開されたPoC(概念実証)が存在します。Microsoftは2025年10月23日にバンド外の修正を行い、インタリム緩和策としてWSUSサーバロールの無効化または管理ポートへの着信アクセスのブロックを推奨しています。
緩和策
MicrosoftはCVE-2025-59287に対するバンド外のパッチをリリースしました。組織は直ちにこの更新を適用すべきです。信頼された管理ホストにのみWSUSポート8530/TCPおよび8531/TCPへの着信トラフィックを制限することで、露出を最小限に抑える必要があります。WSUSサーバをインターネットから隔離し、WSUS Webサービスエンドポイントへの許可されていないPOSTリクエストを監視してください。
mermaid graph TB %% Class definitions classDef technique fill:#99ccff classDef process fill:#ffdd99 classDef discovery fill:#ddffdd classDef exfil fill:#ffcc99 classDef c2 fill:#ff99cc %% Nodes A[“<b>技術</b> – <b>T1210 リモートサービスの悪用</b><br />ポート8530/8531での認証されていないWSUS逆シリアル化”] class A technique B[“<b>技術</b> – <b>T1059.003 コマンド実行</b><br />wsusservice.exeまたはw3wp.exeがcmd.exeを生成”] class B process C[“<b>技術</b> – <b>T1059.001 PowerShell</b> および <b>T1027.009 難読化されたファイルまたは情報</b><br />Base64でエンコードされたペイロードがデコードされ実行される”] class C process D1[“<b>技術</b> – <b>T1033 システムの所有者/ユーザー探索</b><br />コマンド: whoami”] class D1 discovery D2[“<b>技術</b> – <b>T1087.002 ドメインアカウント探索</b><br />コマンド: net user /domain”] class D2 discovery D3[“<b>技術</b> – <b>T1016 ネットワーク構成探索</b><br />コマンド: ipconfig /all”] class D3 discovery E[“<b>技術</b> – <b>T1567.004 Webhook経由の流出</b> HTTP PUT (T1102.002) を使用<br />ツール: Invoke-WebRequestまたはcurl”] class E exfil F[“<b>技術</b> – <b>T1090.003 マルチホッププロキシ</b> および <b>T1071.001 ウェブプロトコル</b><br />コマンド&コントロールトラフィック”] class F c2 %% Connections A u002du002d>|悪用| B B u002du002d>|生成| C C u002du002d>|実行| D1 C u002du002d>|実行| D2 C u002du002d>|実行| D3 D1 u002du002d>|収集| E D2 u002du002d>|収集| E D3 u002du002d>|収集| E E u002du002d>|転送| F
攻撃フロー
CVE-2025-59287 シミュレーション
シミュレーション実行
前提条件:Telemetry & Baseline Pre-flight Checkが成功している必要があります。
根拠:このセクションは検出規則を誘発するために設計された敵対者技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックに期待される正確なテレメトリを生成することを目的としています。抽象的または無関連な例は誤診に繋がります。
攻撃のナラティブとコマンド:
ステップ1 – デコイWSUSバイナリを準備する:
合法的なシステムバイナリをコピーする(例:C:WindowsSystem32wsusservice.exeは通常存在しないので、cmd.exeをクローンし、脆弱なサービスを模倣するようにリネームします。
ステップ2 – CVE-2025-59287を悪用する:
この脆弱性により攻撃者はWSUSサービスにコマンドラインを供給し、システム権限で実行されます。
攻撃者は偽のwsusservice.exeを起動してcmd.exeと子PowerShellプロセスを起動させるペイロードを作成します。
ステップ3 – 期待されるプロセスチェーンを生成する:
wsusservice.exe(親) → cmd.exe(子) → cmd.exe(孫)とpowershell.exe(孫)。
この正確なチェーンがSigma規則のselection_wsusservice条件を満たします。
回帰テストスクリプト: