严重WSUS漏洞(CVE-2025-59287, CVSS 9.8)允许通过不安全Cookie反序列化实现未授权RCE，PoC已公开

安全研究员Batuhan Er来自HawkTrace，详细披露了微软Windows Server Update Services (WSUS)中的一个关键远程代码执行(RCE)漏洞，追踪为CVE-2025-59287。该漏洞CVSS评分为9.8，源于WSUS AuthorizationCookie机制中的不安全反序列化过程，允许未经身份验证的攻击者以SYSTEM权限执行任意代码。微软已在2025年10月的补丁星期二更新中修复了该漏洞。

“此漏洞源于发送到GetCookie()端点的AuthorizationCookie对象的不安全反序列化，”Er解释道。“加密的cookie数据使用AES-128-CBC解密，随后通过BinaryFormatter进行反序列化，但没有进行适当的类型验证，从而能够以SYSTEM权限实现远程代码执行。”

Windows Server Update Services (WSUS)是微软的企业级管理工具，用于集中管理网络中Windows设备的更新。WSUS服务器通过基于SOAP的API与客户端通信，以安全高效地分发更新。然而，当不当处理的输入被反序列化时——如CVE-2025-59287所示——这个通信通道就变成了关键的受攻击面。

“WSUS客户端通过网络与WSUS服务器通信以接收更新并保持安全，”报告指出，但此通道可通过恶意的AuthorizationCookie载荷被劫持。

漏洞存在于Microsoft.UpdateServices.Internal.Authorization.EncryptionHelper.DecryptData()方法中。当WSUS服务器收到包含AuthorizationCookie的请求时，加密数据使用AES-128-CBC解密，然后直接传递给.NET的BinaryFormatter.Deserialize()——该方法长期以来被认为在处理不受信任数据时本质上不安全。如果反序列化对象的类型未经验证，攻击者可以制作恶意的序列化载荷，在WSUS进程内触发任意代码执行，该进程以SYSTEM权限运行。

“这最后一步是关键漏洞：任意加密载荷可以被反序列化，导致远程代码执行，”Er在报告中声明。

HawkTrace的分析通过多个内部WSUS函数追踪了易受攻击的执行路径，始于对GetCookie()端点的恶意SOAP请求。Batuhan Er在GitHub上发布了详细的概念验证(PoC)漏洞利用，演示了通过WSUS API发送精心构造的AuthorizationCookie载荷实现未授权RCE。该利用链允许远程攻击者在易受攻击的安装上绕过身份验证并以SYSTEM权限执行命令。