A Microsoft sürgős, sávon kívüli biztonsági frissítést adott ki a Windows Server Update Services (WSUS) kritikus biztonsági résének kijavítására.
A CVE-2025-59287 számú hiba lehetővé teszi a támadók számára, hogy távolról, felhasználói beavatkozás nélkül hajtsanak végre kódot a sebezhető szervereken.
A vészhelyzeti javítás október23-án vált szükségessé. online közzétételre. A fenyegetés október 24-én fokozódott, amikor a holland kiberbiztonsági tisztviselők megerősítették, hogy a sebezhetőséget aktívan kihasználják a vadonban.
A Microsoft sürgeti az új rendszergazda azonnali frissítését. hatályon kívül helyez egy korábbi, hiányos javítást az októberi javítás keddi kiadásában.
Kritatív, féregteleníthető hiba: A CVE-2025-59287 értelmezése
A 10-ből 9,8-as CVSS-pontszámmal a sérülékenység súlyos kockázatot jelent a vállalati hálózatokra. A hiba a WSUS-ban rejlik, amely számtalan szervezet alapvető infrastrukturális összetevője, és ennek kihasználása nem igényel különleges jogosultságokat vagy felhasználói interakciót, így különösen veszélyes.
A Microsoft-frissítések helyi tárolójaként a WSUS lehetővé teszi a rendszergazdák számára, hogy hatékonyan kezeljék a javítások telepítését, és megőrizzék a sávszélességet.
Egy WSUS-szerver elleni sikeres támadás megbízható terjesztési csatornát biztosít a fenyegetések szereplői számára a vállalati hálózat szívébe.
Onnan zsarolóprogramokat, kémprogramokat vagy más, legális szoftverfrissítésnek álcázott rosszindulatú programokat telepíthetnek minden csatlakoztatott munkaállomásra és szerverre, ami katasztrofális, széles körben elterjedt incidenshez vezethet.
Ez a fajta hiba, amelyet nem biztonságos deszerializálásnak neveznek, akkor fordul elő, amikor egy alkalmazás soros adatokat kap – ez az objektumok átvitelre való csomagolására használt formátum –, és újraépíti azokat anélkül, hogy megfelelően ellenőrizné a tartalmát.
A biztonsági szakértők riasztást adtak a gyors, automatizált terjedés lehetőségével kapcsolatban. Dustin Childs of Trend Micro Zero Day Initiative programja figyelmeztetett, hogy „a biztonsági rés egy WSUS-szerver és az érintett WSUS-szerverek között féregteleníthető. célpont.”
Egy „férgezhető”exploit emberi beavatkozás nélkül is átterjedhet egyik sebezhető rendszerről a másikra, ami egy lépcsőzetes, az egész hálózatra kiterjedő kompromisszum lehetőségét teremtheti meg egyetlen belépési ponttól.
Gyorsan növekvő fenyegetés
Az exploit rendszergazdák versenyfutása nyomán találták magukat a nyilvános kiadásban. idő.
A helyzet egy rutin javításból egy teljes vészhelyzetbe fejlődött alig több mint egy hét alatt, ami rávilágított a modern kiberfenyegetések gyors ütemű természetére.
A Microsoft eredetileg az október 14-i javítási keddi ütemezett kiadásában foglalkozott a sérülékenységgel, de a javításról később kiderült, hogy hiányos, így a kiszolgálók
részletes elemzés és munka proof-of-concept exploit.
A funkcionális kizsákmányoló kód nyilvános elérhetősége a kiberbűnözők játékkönyveként működik, jelentősen csökkentve a kevésbé képzett támadók előtt a sebezhetőség felfegyverzését és széleskörű támadások indítását a javítatlan rendszerek ellen.
Az aktív kihasználás megerősítése (A Dutch NC24SC-n gyorsan megérkezett az októberi biztonsági központ.) href=”https://advisories.ncsc.nl/2025/ncsc-2025-0310.html”target=”_blank”>riasztást adott ki, amelyben kijelentette, hogy „egy megbízható partnertől megtudta, hogy 2025. október 24-én a sérülékenységgel való visszaélést (…) észlelték.”
A sérülékenység megerősítése áthelyezte a hivatalos biztonsági kockázatot.
egyértelmű és jelenlévő veszély, ami arra készteti a Microsoft sürgősségi sávon kívüli válaszát, hogy megfékezzék a fenyegetést.
Sürgős enyhítés: javítsd ki most vagy izoláld a szervereket
Az aktív kihasználásokra és a nyilvános PoC-ra válaszul a Microsoft október 23-án átfogó sávon kívüli szerverfrissítést adott ki. A vállalat hangsúlyozta az azonnali frissítések fontosságát a Windows számára. verziók:
Azok a rendszergazdák, akik nem tudják azonnal telepíteni a javítást, a vállalat két lehetséges megoldást részletezett.
Az első a WSUS kiszolgálói szerepkör ideiglenes letiltása. teljesen. A második az összes bejövő forgalom blokkolását jelenti a kiszolgáló gazdagép tűzfalának 8530-as és 8531-es portjára.
Bár hatékonyan leállítják a kizsákmányolást, ezek az intézkedések működésképtelenné teszik a WSUS-t, ami nehéz választási lehetőséget jelent az adminisztrátorok számára, mivel leállítja az összes kritikus biztonsági frissítés áramlását az ügyfélgépekre. egyszerűség. A cég nyilatkozata szerint „ez egy kumulatív frissítés, ezért a frissítés telepítése előtt nem kell semmilyen korábbi frissítést alkalmaznia, mivel az felülírja az összes korábbi verziót az érintett rendszerhez.”
újraindítás szükséges a telepítés után a folyamat befejezéséhez. Kisebb mellékhatásként a Microsoft megjegyezte, hogy a frissítés ideiglenesen eltávolítja a szinkronizálási hiba részleteinek megjelenítését a WSUS felületen, hogy teljes mértékben orvosolja a hibát.
