SOC Prime Bias: Crítico

27 Out 2025 09:11
newspaper icon Huntress

CVE-2025-59287: Vulnerabilidade de Execução Remota de Código nos Serviços de Atualização do Windows Server

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2025-59287: Vulnerabilidade de Execução Remota de Código nos Serviços de Atualização do Windows Server
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Atores de ameaça estão explorando uma nova falha de execução remota de código divulgada no Microsoft Windows Server Update Services. A vulnerabilidade (CVE-2025-59287) permite que atacantes não autenticados enviem requisições forjadas para endpoints WSUS nas portas 8530 e 8531 e obtenham execução de código. Hosts explorados executam cargas úteis em PowerShell que enumeram informações do sistema e exfiltram dados para webhooks externos. A atividade foi observada em vários ambientes de clientes pela Huntress.

Detalhes da Vulnerabilidade

Huntress detectou requisições POST maliciosas para serviços web do WSUS que acionaram a desserialização no AuthorizationCookie. Cadeias de processos mostraram wsusservice.exe ou w3wp.exe iniciando cmd.exe e powershell.exe para executar um comando PowerShell codificado em Base64. A carga útil coletou dados de usuários e da rede e enviou para um webhook remoto via Invoke‑WebRequest ou curl. Redes de proxy foram usadas para ocultar a origem dos atacantes.

O bug foi observado sendo explorado em campo e existe um PoC público; a Microsoft emitiu uma correção fora de banda em 23 de outubro de 2025, e as mitigações intermediárias incluem desativar o papel do servidor WSUS ou bloquear o acesso de entrada às portas de gerenciamento do WSUS até que o patch seja aplicado.

Mitigação

A Microsoft lançou um patch fora de banda para CVE-2025-59287; as organizações devem aplicar a atualização imediatamente. Limite a exposição restringindo o tráfego de entrada às portas 8530/TCP e 8531/TCP do WSUS apenas para hosts de gerenciamento confiáveis. Isole os servidores WSUS da internet e monitore para requisições POST não autorizadas aos endpoints dos serviços web do WSUS.

mermaid graph TB %% Class definitions classDef technique fill:#99ccff classDef process fill:#ffdd99 classDef discovery fill:#ddffdd classDef exfil fill:#ffcc99 classDef c2 fill:#ff99cc %% Nodes A[“<b>Técnica</b> – <b>T1210 Exploração de Serviços Remotos</b><br />Desserialização WSUS não autenticada nas portas 8530/8531”] class A technique B[“<b>Técnica</b> – <b>T1059.003 Execução de Comando</b><br />wsusservice.exe ou w3wp.exe inicia cmd.exe”] class B process C[“<b>Técnica</b> – <b>T1059.001 PowerShell</b> e <b>T1027.009 Arquivos ou Informação Ofuscada</b><br />Carga útil codificada em Base64 é decodificada e executada”] class C process D1[“<b>Técnica</b> – <b>T1033 Descoberta de Proprietário/Usuário do Sistema</b><br />Comando: whoami”] class D1 discovery D2[“<b>Técnica</b> – <b>T1087.002 Descoberta de Conta de Domínio</b><br />Comando: net user /domain”] class D2 discovery D3[“<b>Técnica</b> – <b>T1016 Descoberta de Configuração de Rede</b><br />Comando: ipconfig /all”] class D3 discovery E[“<b>Técnica</b> – <b>T1567.004 Exfiltração via Webhook</b> via HTTP PUT (T1102.002)<br />Ferramentas: Invoke‑WebRequest ou curl”] class E exfil F[“<b>Técnica</b> – <b>T1090.003 Proxy Multi-hop</b> e <b>T1071.001 Protocolos Web</b><br />Tráfego de Comando e Controle”] class F c2 %% Connections A u002du002d>|explora| B B u002du002d>|inicia| C C u002du002d>|executa| D1 C u002du002d>|executa| D2 C u002du002d>|executa| D3 D1 u002du002d>|coleta| E D2 u002du002d>|coleta| E D3 u002du002d>|coleta| E E u002du002d>|transfere| F

Fluxo de Ataque

Simulação do CVE-2025-59287

Execução da Simulação

Pré-requisito: O pré-check de Telemetria & Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um erro de diagnóstico.

Narrativa do Ataque & Comandos:

Etapa 1 – Prepare um binário de engano WSUS:
Copie um binário legítimo do sistema (por exemplo, C:WindowsSystem32wsusservice.exe normalmente não existe, então clonamos cmd.exe e o renomeamos para imitar o serviço vulnerável.


Etapa 2 – Explorar CVE‑2025‑59287:
A vulnerabilidade permite que um atacante forneça uma linha de comando ao serviço WSUS que é executada com privilégios SYSTEM.
O atacante cria uma carga útil que faz com que o falso wsusservice.exe inicie cmd.exe e um processo filho do PowerShell.


Etapa 3 – Gerar a cadeia de processos esperada:
wsusservice.exe (pai) → cmd.exe (filho) → cmd.exe (neto) e powershell.exe (neto).
Esta cadeia exata satisfaz a condição selection_wsusservice da regra Sigma.
Script de Teste de Regressão:

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente