紧急警报:Windows Server WSUS漏洞遭主动利用(CVE-2025-59287,CVSS 9.8)
微软最近针对企业版Windows Server更新服务(WSUS)发布了紧急安全更新,以修复一个关键漏洞CVE-2025-59287,该漏洞的CVSS评分为9.8。该漏洞已有公开的概念验证(PoC),并已被威胁行为者在野外主动利用。
该漏洞源于WSUS内对不可信数据的不当反序列化,允许未经身份验证的攻击者通过网络执行任意代码。值得注意的是,此漏洞仅影响启用了WSUS服务器角色的系统——未启用此角色的服务器不受影响。
在一个可能的攻击场景中,远程未经身份验证的攻击者可以发送特制事件,利用WSUS传统序列化机制中的不安全对象反序列化。这可能导致具有SYSTEM级权限的远程代码执行(RCE),从而有效授予对受影响系统的完全控制权。
微软在其公告中表示: “这是一个累积更新,因此在安装此更新之前无需应用任何以前的更新,因为它取代了受影响版本的所有先前更新。如果您尚未安装2025年10月Windows安全更新,我们建议您应用此带外更新。安装更新后,您需要重新启动系统。”
已修补的操作系统包括:Windows Server 2012 / 2012 R2 / 2016 / 2019 / 2022 / 23H2(核心安装)/ 和 2025。
对于无法立即应用更新的系统,微软建议采取以下缓解措施:
- 如果当前已启用WSUS服务器角色,请禁用它
- 在防火墙端口8530和8531上阻止入站流量(出站流量不需要限制)
- 在成功安装补丁之前不要撤销这些缓解措施
荷兰国家网络安全中心(NCSC)报告称,根据可信合作伙伴的信息,对CVE-2025-59287的利用始于2025年10月24日。 首次检测到攻击的安全公司Eye Security表示,在10月24日UTC+0时间06:55观测到利用活动,当时攻击者针对一个未具名的客户组织部署了Base64编码的有效负载。
值得注意的是,该漏洞的PoC利用程序大约在10月22日发布,就在第一波攻击发生前两天——这一时间线并不令人意外,但凸显了微软决定立即发布补丁的紧迫性。