CVE-2025-59287: Windows Server Update Services 원격 코드 실행 취약점

요약

위협 행위자가 Microsoft Windows Server Update Services의 새로 공개된 원격 코드 실행 결함을 악용하고 있습니다. 취약점(CVE-2025-59287)은 인증되지 않은 공격자가 포트 8530 및 8531의 WSUS 엔드포인트에 조작된 요청을 보내고 코드 실행을 달성할 수 있도록 합니다. 악용된 호스트는 시스템 정보를 나열하고 외부 웹훅으로 데이터를 빼내는 PowerShell 페이로드를 실행합니다. Huntress는 여러 고객 환경에서 해당 활동을 관찰했습니다.

취약점 세부정보

Huntress는 WSUS 웹 서비스에 대한 악의적인 POST 요청을 감지했으며, 이는 AuthorizationCookie에서 역직렬화를 유발했습니다. 프로세스 체인은 wsusservice.exe 또는 w3wp.exe가 cmd.exe 및 powershell.exe를 생성하여 Base64로 인코딩된 PowerShell 명령을 실행하는 것을 보여주었습니다. 페이로드는 사용자 및 네트워크 데이터를 수집하여 Invoke-WebRequest 또는 curl을 통해 원격 웹훅으로 전송했습니다. 공격자의 출처를 숨기기 위해 프록시 네트워크가 사용되었습니다.

이 결함은 실제로 악용되고 있으며, 공개 PoC가 존재합니다. Microsoft는 2025년 10월 23일에 긴급 수정 사항을 발표했으며, 패치가 완료될 때까지 임시 완화 조치로 WSUS 서버 역할을 비활성화하거나 WSUS 관리 포트로의 수신 액세스를 차단하는 것이 포함됩니다.

완화 조치

Microsoft는 CVE-2025-59287에 대한 긴급 패치를 발표했으며, 조직은 즉시 업데이트를 적용해야 합니다. 노출을 제한하기 위해 WSUS 포트 8530/TCP 및 8531/TCP로의 수신 트래픽을 신뢰 관리 호스트로만 제한하십시오. WSUS 서버를 인터넷에서 격리하고 WSUS 웹 서비스 엔드포인트로의 무단 POST 요청을 모니터링하십시오.

CVE-2025-59287 시뮬레이션

시뮬레이션 실행

전제 조건: 원격 측정 및 기준선 사전 비행 검사가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적 대기술(TTP)의 정확한 실행을 상세히 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 예상되는 정확한 원격 측정을 생성하도록 목표로 해야 합니다. 추상적이거나 관련 없는 예시는 오진을 초래할 수 있습니다.

공격 내러티브 및 명령:

단계 1 – 미끼 WSUS 바이너리 준비:
합법적인 시스템 바이너리(e.g., C:WindowsSystem32wsusservice.exe는 일반적으로 존재하지 않으므로 cmd.exe를 복제하고 취약한 서비스를 모방하기 위해 이름을 바꿉니다.

단계 2 – CVE-2025-59287 악용:
이 취약점은 공격자가 WSUS 서비스에 명령줄을 제공할 수 있도록 하며, 이는 SYSTEM 권한으로 실행됩니다.
공격자는 가짜 wsusservice.exe가 cmd.exe와 자식 PowerShell 프로세스를 시작하도록 하는 페이로드를 조작합니다.

단계 3 – 예상되는 프로세스 체인 생성:
wsusservice.exe (부모) → cmd.exe (자식) → cmd.exe (손자) 및 powershell.exe (손자).
이 정확한 체인은 Sigma 규칙의 selection_wsusservice 조건을 충족합니다.
회귀 테스트 스크립트: