Windows Server更新服务远程代码执行漏洞分析
概述
在Microsoft Windows Server更新服务(WSUS)中发现了一个可能允许远程代码执行的漏洞。WSUS是一种帮助组织管理和分发Microsoft更新的工具。WSUS下载更新并存储它们,然后将其分发给连接到它的网络上的所有计算机。成功利用该漏洞可能允许攻击者获得WSUS服务器的完全控制权,并向客户端设备分发恶意更新。
威胁情报
根据开源报告,概念验证漏洞利用代码已被发布。此外,CISA将CVE-2025-59287添加到已知被利用漏洞(KEV)目录中。
受影响系统
- Windows Server 2012 R2版本早于build 6.3.9600.22826
- Windows Server 2012版本早于build 6.2.9200.25728
- Windows Server 2016版本早于build 10.0.14393.8524
- Windows Server 2025版本早于build 10.0.26100.6905
- Windows Server 2022, 23H2版本(Server Core安装)早于build 10.0.25398.1916
- Windows Server 2022版本早于build 10.0.20348.4297
- Windows Server 2019版本早于build 10.0.17763.7922
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户: 低
技术详情
在Microsoft Windows Server更新服务(WSUS)中发现了一个可能允许远程代码执行的漏洞。漏洞详情如下:
战术: 初始访问(TA0001) 技术: 利用面向公众的应用程序(T1190)
这是一个关键的反序列化不受信任数据漏洞,可能允许未经授权的攻击者通过向WSUS服务器发送特制事件在易受攻击的机器上执行代码。触发此漏洞不需要用户交互。(CVE-2025-59287)
成功利用该漏洞可能允许攻击者获得WSUS服务器的完全控制权,并向客户端设备分发恶意更新。
修复建议
我们建议采取以下措施:
-
应用安全更新
- 在适当测试后立即将Microsoft或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统
- 实施和维护漏洞管理流程
- 建立和维护基于风险的修复策略
- 执行自动应用程序补丁管理
- 执行自动漏洞扫描
- 修复检测到的漏洞
- 确保网络基础设施保持最新
-
实施最小权限原则
- 对所有系统和服务应用最小权限原则
- 以非特权用户身份运行所有软件
- 管理企业资产和软件上的默认账户
- 建立和维护服务账户清单
-
漏洞扫描和渗透测试
- 使用漏洞扫描查找潜在可利用的软件漏洞
- 建立和维护渗透测试程序
- 执行定期外部渗透测试
- 修复渗透测试发现的问题
- 进行应用程序渗透测试
-
网络分段
- 架构网络部分以隔离关键系统、功能或资源
- 使用物理和逻辑分段
- 使用DMZ包含任何不应从内部网络暴露的面向互联网的服务
- 配置单独的虚拟私有云实例以隔离关键云系统
- 建立和维护安全的网络架构
-
利用保护
- 使用功能检测和阻止可能导致或指示软件利用发生的条件
- 启用反利用功能
10月30日更新建议
-
识别易受攻击的服务器以进行优先缓解:
- 在PowerShell中运行以下命令检查WSUS是否处于安装状态:
Get-WindowsFeature -Name UpdateServices - 和/或利用服务器管理器仪表板,检查WSUS是否作为服务器角色启用
- 在PowerShell中运行以下命令检查WSUS是否处于安装状态:
-
应用安全更新:
- 将2025年10月23日发布的带外安全更新应用到步骤1中识别的所有服务器
- 安装后重新启动WSUS服务器以完成缓解
-
临时缓解措施:
- 如果组织无法立即应用更新,系统管理员应禁用WSUS服务器角色和/或在主机防火墙阻止到TCP 8530/TCP 8531(WSUS的默认侦听器)的入站流量
- 注意:在组织安装更新之前,不要撤销这些变通方法
-
威胁检测:
- 监控和审查具有SYSTEM级权限生成的可疑活动和子进程,特别是源自wsusservice.exe和/或w3wp.exe的进程
- 监控和审查使用base64编码的PowerShell命令的嵌套PowerShell进程
参考资料
- CISA已知被利用漏洞目录
- CVE-2025-59287漏洞详情
- HelpNetSecurity漏洞分析报告
- Microsoft安全更新指南