微软紧急修补Windows Server更新服务RCE漏洞CVE-2025-59287
LevelBlue Labs正在追踪Windows Server Update Services (WSUS)中的一个严重漏洞,CVE-2025-59287。该漏洞允许攻击者无需认证即可远程执行代码,并正被威胁行为者利用以入侵易受攻击的Windows Server用户。
Windows Server Update Services (WSUS) 是微软的一款工具,使IT管理员能够管理公司环境中微软产品发布的更新和补丁的分发。WSUS充当一个集中式服务器,下载一次更新然后分发给客户端机器,而不是每台设备都直接从微软下载。这种设置有助于减少带宽使用,确保合规性,并让管理员控制安装内容和时间。 由于WSUS是为内部网络使用而设计的,预期会应用基本的网络卫生措施,并将服务器置于防火墙或VPN之后以阻止任何利用尝试。任何与WSUS通信的客户端机器都应使用端口8530进行HTTP通信,端口8531进行HTTPS通信。 该漏洞,CVE-2025-59287,是一个针对通过API发送到服务器的数据的反序列化漏洞。负责反序列化的.NET组件未能强制执行严格的类型验证,使得未经认证的攻击者能够发送包含恶意序列化负载的特制请求,该负载将以SYSTEM权限执行。 该漏洞影响从2012到2025的Windows Server版本,只要启用了WSUS服务器角色并且威胁行为者能够访问服务器(这种情况不应经常发生)。 此漏洞的严重性在于这些服务器的性质,它们是受信任的更新分发点。如果被成功利用,这些服务器可能成为来自组织内部的供应链攻击源头,并迅速在网络上横向移动。该漏洞已迅速升级其严重性,并引起了网络安全社区的广泛关注,不仅因为其供应链影响,还因为微软需要发布带外安全更新,正如我们在时间线中看到的:
- 10月14日:微软在补丁星期二发布了初始补丁,以解决影响通过SOAP API发送的Reporting WebService对象的反序列化漏洞。
- 10月21日:网络安全解决方案公司Hawktrace发表了一篇博客,介绍了该漏洞,并分享了一个概念验证(PoC),用于发送恶意构造的授权Cookie,该Cookie一旦反序列化就会利用该漏洞。
- 10月23日:微软发布了一个带外安全更新,以修补WSUS中的一个正在被野利用的漏洞。
- 10月23日 & 24日:CISA于2025年10月24日将CVE-2025-59287添加到其已知被利用漏洞(KEV)目录中,多家网络安全公司报告了在野外观察到的攻击。
- 10月29日:CISA完成了关于该漏洞的指南更新。
如何判断设备是否易受攻击?
- 通过PowerShell检查WSUS安装:运行命令
Get-WindowsFeature -Name UpdateServices来检查WSUS是否处于已安装状态。 - 查看服务器管理器仪表板:在服务器管理器中,确认是否启用了Windows Server Update Services作为服务器角色。
- 网络流量分析:如果无法通过配置检查确认WSUS启用状态,请分析历史网络流量中TCP端口8530和8531上的连接。这有助于识别环境中未公开或被遗忘的WSUS实例。
检测
监控由WSUS相关可执行文件(特别是wsusservice.exe和w3wp.exe(IIS工作进程))生成的异常子进程。这些进程通常应处理更新同步和Web服务操作,而不是执行任意命令或启动PowerShell或任何其他命令行或脚本引擎。 查看发布的Suricata检测规则。LevelBlue Labs发布了一个规则,用于在发送到ReportingWebService.asmx的POST请求中查找潜在的利用内容。此外,ProofPoint在其Emerging Threats开放检测中发布了两条规则来检测利用尝试:一条查看上述端点,而第二条查看ClientWebService/Client.asmx并检查Cookie的主体。 如果上述方法尚未完全明确设备是否可能被感染,LevelBlue建议进行全面网络遥测审查,以识别从WSUS到未知外部服务器的出站连接。 上述提到的所有检测方法均在附录A:检测方法中命名。
建议措施
- 应用微软安全更新:最有效的修复措施是尽快应用微软的官方补丁。这些更新解决了漏洞并恢复了安全功能。
- 临时变通方案:禁用WSUS服务器角色。这将完全消除攻击面,但也会阻止更新和补丁分发给网络系统。组织应权衡此操作与运营需求。
- 在主机级别阻止到WSUS端口(TCP 8350和8351)的入站流量:这种方法比仅在边界阻止更有效,因为它减轻了内部和外部攻击向量。请注意,这将使WSUS无法运行。
检测方法
以下是LevelBlue Labs使用的相关检测方法。读者可用于调整或在自己的环境中部署检测,或帮助进行进一步研究。
关联指标 (IOCs)
以下是与本报告情报相关的技术指标。
映射到MITRE ATT&CK
本报告的发现映射到以下MITRE ATT&CK矩阵技术:
- TA0001: 初始访问
- T1190: 利用公开-facing应用
- T1195: 供应链攻击
- T1195.002: 攻击软件供应链
- TA0043: 侦察
- T1595: 主动扫描
- T1595.002: 漏洞扫描
- T1595: 主动扫描
参考资料
报告作者在收集和分析与本情报报告相关的过程中使用了以下来源列表:
- https://support.microsoft.com/en-us/topic/october-14-2025-kb5066836-os-build-14393-8519-185c51be-5c70-42df-9c96-4f71c02e9b17
- https://support.microsoft.com/en-us/topic/october-23-2025-kb5070882-os-build-14393-8524-out-of-band-3400c459-db78-48bc-ae69-f61bff15ea7c
- https://hawktrace.com/blog/CVE-2025-59287-UNAUTH
- https://www.cisa.gov/news-events/alerts/2025/10/24/microsoft-releases-out-band-security-update-mitigate-windows-server-update-service-vulnerability-cve
- https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability
- https://x.com/Horizon3ai/status/1981751098999259566
LevelBlue Labs根据情报来源和信息可靠性评级系统对来源进行评级,以评估来源的可靠性以及我们对所分发信息的置信度。下图包含了可能的范围,应用于本报告的选择可在第1页找到。