微軟發布了緊急帶外安全更新,以修復其 Windows Server Update Services (WSUS) 中的一個關鍵漏洞。
該漏洞 CVE-2025-59287 允許攻擊者在沒有任何用戶交互的情況下在易受攻擊的服務器上遠程執行代碼。
在在線發布概念驗證漏洞後,10 月 23 日發布的緊急補丁變得非常必要。 10 月 24 日,荷蘭網絡安全官員確認該漏洞正在被積極利用,威脅升級。
Microsoft 敦促管理員立即應用新的累積更新,因為 它取代了 10 月補丁星期二版本中先前不完整的修復。
嚴重的可蟲缺陷:了解 CVE-2025-59287
該漏洞的 CVSS 得分為 9.8(滿分 10),代表企業網絡面臨嚴重風險。該缺陷存在於 WSUS 中,WSUS 是無數組織的核心基礎設施組件,其利用不需要特殊權限或用戶交互,因此特別危險。
通過充當 Microsoft 更新的本地存儲庫,WSUS 允許管理員有效管理補丁部署並節省帶寬。
然而,這一核心角色也使其成為獨特的強大目標。對 WSUS 服務器的成功攻擊為威脅行為者提供了進入企業網絡核心的可信分發渠道。
從那裡,他們可以將勒索軟件、間諜軟件或其他偽裝成合法軟件更新的惡意軟件部署到每個連接的工作站和服務器,從而導致災難性的大範圍違規。
根據 Microsoft 的公告,“未經身份驗證的遠程攻擊者可能會發送精心設計的事件,在舊序列化機制中觸發不安全的對象反序列化,從而導致遠程代碼
這種類型的缺陷稱為不安全反序列化,當應用程序接收序列化數據(一種用於打包對象進行傳輸的格式)並在沒有正確驗證其內容的情況下重建它時,就會發生這種類型的缺陷。
A HawkTrace 的研究員 Batuhan Er 的技術分析揭示了 該漏洞利用的目標是“AuthorizationCookie”對象,允許攻擊者以最高系統權限注入並運行惡意代碼。
安全專家已就快速、自動傳播的可能性發出警報。趨勢科技零日計劃的達斯汀·蔡爾茲警告“該漏洞在受影響的 WSUS 服務器之間是可傳播的,並且 WSUS 服務器是一個 有吸引力的目標。 “
“可蠕蟲”漏洞可以在沒有人為乾預的情況下從一個易受攻擊的系統自我傳播到另一個系統,從而有可能從單個入口點進行級聯、全網絡的妥協。
快速升級的威脅
在公開發布概念驗證漏洞後,管理員發現自己處於一場與其他系統的競爭中。
在短短一周多的時間裡,情況從例行補丁演變為全面的緊急情況,突顯了現代網絡威脅的快節奏本質。
微軟最初在預定的 10 月 14 日補丁星期二版本中修復了該漏洞,但後來發現該修復不完整,導致服務器暴露在外。
安全研究人員 Batuhan Er 發現威脅級別急劇上升。 發布了他的詳細分析和有效的概念驗證漏洞。
功能漏洞代碼的公開可用性充當網絡犯罪分子的劇本,顯著降低了技能較低的攻擊者將漏洞武器化並對未修補的系統發起廣泛攻擊的障礙。
10 月 24 日迅速確認了主動利用漏洞。荷蘭國家網絡安全中心 (NCSC) 發布警報“已從值得信賴的合作夥伴處獲悉,2025 年 10 月 24 日觀察到該漏洞被濫用 (…)。 “
此官方確認已將該漏洞從 理論上的風險轉變為明顯且現實的危險,促使微軟採取緊急帶外響應來遏制威脅。
緊急緩解:立即修補或隔離服務器
為了應對活躍的漏洞和公開 PoC,微軟於 10 月 23 日發布了全面的帶外更新。該公司強調立即採取行動的重要性,為所有受影響的 Windows Server 提供具體更新 版本:
對於無法立即部署補丁的管理員,該公司詳細介紹了兩種潛在的解決方法。
第一種是暫時完全禁用 WSUS 服務器角色。第二個涉及阻止服務器主機防火牆上端口 8530 和 8531 的所有入站流量。
雖然可以有效阻止漏洞利用,但這些措施會導致 WSUS 無法運行,從而使管理員做出艱難的選擇,因為它會阻止所有關鍵安全更新流向客戶端計算機。
微軟還澄清了新補丁的性質,強調其簡單性。 根據公司聲明,“這是一個累積更新,因此在安裝此更新之前不需要應用任何以前的更新,因為它會取代受影響版本的所有以前的更新。 “
系統 安裝後需要重新啟動才能完成該過程。作為一個輕微的副作用,微軟指出,該更新暫時刪除了 WSUS 界面中同步錯誤詳細信息的顯示,以完全解決該缺陷。
