微软紧急修复Windows Server Update Services RCE漏洞 CVE-2025-59287

LevelBlue Labs正在追踪Windows Server Update Services中的一个严重漏洞CVE-2025-59287。该漏洞允许攻击者在未经身份验证的情况下远程执行代码，并已被威胁行为者利用，用于入侵易受攻击的Windows Server用户。

Windows Server Update Services是微软的一款工具，使IT管理员能够管理Microsoft产品更新和补丁在公司环境计算机中的分发。WSUS充当集中式服务器，下载更新后分发给客户端计算机，而不是每台设备直接从微软下载。这种设置有助于减少带宽使用、确保合规性，并让管理员控制安装内容和时间。

由于WSUS设计用于内部网络，因此预计会实施基本的网络卫生措施，并将服务器置于防火墙或VPN之后以阻止任何利用尝试。任何与WSUS通信的客户端机器都应使用端口8530进行HTTP通信，端口8531进行HTTPS通信。

漏洞CVE-2025-59287是一个反序列化漏洞，攻击者通过API向服务器发送数据。负责反序列化的.NET组件未能执行严格的类型验证，允许未经身份验证的攻击者发送包含恶意序列化负载的特制请求，该负载将以SYSTEM权限执行。

该漏洞影响从2012年到2025年的Windows Server版本，只要启用了WSUS服务器角色，并且威胁行为者能够访问服务器（这种情况不应经常发生）。

漏洞的严重性在于这些服务器的性质，它们是可信的更新分发点。如果被成功利用，这些服务器可能成为组织内部供应链攻击的来源，并迅速在网络中横向移动。此漏洞因其供应链影响以及微软需要发布带外安全更新而迅速提升了严重性并引起了网络安全社区的广泛关注，时间线如下：

• 10月14日：微软在补丁星期二发布了初始补丁，以解决影响通过SOAP API发送的Reporting WebService对象的反序列化漏洞。
• 10月21日：网络安全解决方案公司Hawktrace发布了一篇博客，介绍了该漏洞，并分享了一个概念验证，用于发送恶意构造的Authorization cookie，这些cookie在反序列化后会利用该漏洞。
• 10月23日：微软发布了一个带外安全更新，以修补WSUS中一个正在被在野利用的漏洞。
• 10月23日及24日：CISA于10月24日将CVE-2025-59287添加到其已知已利用漏洞目录中，多家网络安全公司报告了在野观察到的攻击。
• 10月29日：CISA完成了关于该漏洞的指南更新。

如何判断设备是否易受攻击？

• 通过PowerShell检查WSUS安装：运行命令 Get-WindowsFeature -Name UpdateServices 以检查WSUS是否处于已安装状态。
• 查看服务器管理器仪表板：在服务器管理器中，确认是否启用了Windows Server Update Services作为服务器角色。
• 网络流量分析：如果无法通过配置检查确认WSUS是否启用，请分析历史网络流量中是否存在对TCP端口8530和8531的连接。这有助于识别环境中未公开或已被遗忘的WSUS实例。

检测

监控由WSUS相关可执行文件（特别是wsusservice.exe和w3wp.exe）生成的异常子进程。这些进程通常应处理更新同步和Web服务操作，而不是执行任意命令或启动PowerShell或任何其他命令行或脚本引擎。

审查已发布的Suricata检测规则。LevelBlue Labs发布了一个规则，用于检查发送到ReportingWebService.asmx的POST请求中潜在的漏洞利用内容。此外，ProofPoint在其Emerging Threats开源检测中发布了两条规则来检测利用尝试：一条针对上述端点，另一条针对ClientWebService/Client.asmx并检查cookie正文。

如果上述方法尚未完全明确设备是否可能被感染，LevelBlue建议进行全面网络遥测审查，以识别从WSUS到未知外部服务器的出站连接。

上述所有检测方法均在附录A：检测方法中列出。

建议措施

• 应用微软安全更新：最有效的修复方法是尽快应用微软的官方补丁。这些更新修复了漏洞并恢复了安全功能。
• 临时变通方案：禁用WSUS服务器角色。这将完全消除攻击面，但也会阻止向网络系统分发更新和补丁。组织应权衡此操作与运营需求。
• 在主机级别阻止对WSUS端口（TCP 8350和8351）的入站流量：这种方法比仅在外围阻止更有效，因为它可以缓解内部和外部攻击向量。请注意，这将导致WSUS无法运行。

检测方法

LevelBlue Labs使用了以下关联检测方法。读者可以用它们在自己的环境中调整或部署检测，或帮助进行额外研究。

关联指标

以下是与本报告中情报相关的技术指标。

MITRE ATT&CK映射

本报告的发现映射到以下MITRE ATT&CK Matrix技术：

• TA0001：初始访问
  • T1190：利用面向公众的应用程序
  • T1195：供应链攻击
    • T1195.002：软件供应链攻击
• TA0043：侦查
  • T1595：主动扫描
    • T1595.002：漏洞扫描

参考资料

报告作者在收集和分析与本情报报告相关的过程中使用了以下来源列表：

• https://support.microsoft.com/en-us/topic/october-14-2025-kb5066836-os-build-14393-8519-185c51be-5c70-42df-9c96-4f71c02e9b17
• https://support.microsoft.com/en-us/topic/october-23-2025-kb5070882-os-build-14393-8524-out-of-band-3400c459-db78-48bc-ae69-f61bff15ea7c
• https://hawktrace.com/blog/CVE-2025-59287-UNAUTH
• https://www.cisa.gov/news-events/alerts/2025/10/24/microsoft-releases-out-band-security-update-mitigate-windows-server-update-service-vulnerability-cve
• https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability
• https://x.com/Horizon3ai/status/1981751098999259566

LevelBlue Labs根据情报来源和信息可靠性评级系统对来源进行评级，以评估来源的可靠性以及我们对所分发信息的置信度。以下图表包含了可能性的范围，本报告应用的选择可在第1页找到。

来源可靠性

信息可靠性

反馈

LevelBlue Labs欢迎关于所报告情报和交付流程的反馈。请联系LevelBlue Labs报告作者或联系 alienlabs@intl.att.com。