CISA警告黑客正在积极利用Windows Server更新服务RCE漏洞

美国网络安全与基础设施安全局（CISA）已向全球组织发出警告，称Microsoft Windows Server更新服务（WSUS）中的一个关键远程代码执行（RCE）漏洞正在被积极利用。

该漏洞被追踪为CVE-2025-59287，CVSS评分为9.8分，允许未经身份验证的攻击者通过网络以系统级权限执行任意代码，可能危及整个IT基础设施。

此漏洞源于WSUS中不受信任数据的不安全反序列化问题。Microsoft在10月补丁星期二中部分解决了该问题，但在初始修复被证明不足后，于2025年10月23日发布了紧急带外更新。

威胁正在迅速升级，安全公司报告早在2025年10月24日就发现了实际攻击。荷兰网络安全公司Eye Security在当天UTC时间06:55检测到利用尝试，涉及一个Base64编码的.NET有效载荷，该载荷旨在通过名为"aaaa"的自定义请求头执行命令来逃避日志记录。

WSUS侦察（来源：Eye Security）

几天前由HawkTrace研究员Batuhan Er发布的概念验证（PoC）漏洞利用加速了恶意活动，使攻击者能够针对在SYSTEM账户下运行的WSUS服务器。

CISA将CVE-2025-59287添加到其已知被利用漏洞（KEV）目录中，要求联邦机构在2025年11月14日前完成修补，这突显了该漏洞的高可利用性和低复杂性；不需要用户交互或身份验证。

依赖WSUS进行集中补丁管理的组织面临严重危险，因为成功入侵可能让黑客在连接的设备间分发有毒更新。

以下是受影响的系统：

该漏洞利用了GetCookie()端点中的旧序列化机制，其中加密的AuthorizationCookie对象使用AES-128-CBC解密，并通过BinaryFormatter反序列化而不进行类型验证，这为完全系统接管打开了大门。

来自CODE WHITE GmbH的安全研究人员（包括Markus Wulftange）以及独立专家MEOW和f7d8c52bec79e42795cf15888b85cbad首先发现了这个问题，Microsoft的公告中认可了他们的工作。

Microsoft已确认未启用WSUS服务器角色的服务器不受影响，但对于启用该角色的服务器，特别是那些将端口8530或8531暴露给互联网的服务器，风险十分严重。

早期迹象表明攻击者正在利用PoC投放恶意软件，可能在企业环境中进行广泛的横向移动。

缓解措施

CISA和Microsoft建议迅速采取行动以消除威胁。首先，通过扫描启用WSUS角色并开放端口8530/8531的服务器来识别易受攻击的服务器。

立即应用10月23日的带外补丁，然后重新启动以确保完全缓解。延迟此操作可能使网络面临未经身份验证的RCE风险。

对于那些无法立即修补的系统，临时解决方法包括禁用WSUS角色或在主机防火墙处阻止到受影响端口的入站流量；在安装更新之前不应撤销这些措施。

除了WSUS服务器外，组织还必须更新所有剩余的Windows服务器，并在安装后重新启动它们。应部署监控工具来检测异常的WSUS流量，例如异常的GetCookie()请求或Base64有效载荷。

专家警告称，未修补的系统可能作为高级持续性威胁的入口点，在混合云设置中放大损害。