Microsoft ha rilasciato un aggiornamento di sicurezza urgente fuori banda per correggere una vulnerabilità critica nel suo Windows Server Update Services (WSUS).
La falla, CVE-2025-59287, consente agli aggressori di eseguire codice in remoto su server vulnerabili senza alcuna interazione da parte dell’utente.
La patch di emergenza, rilasciata il 23 ottobre, si è resa necessaria dopo che un exploit proof-of-concept è stato pubblicato online. La minaccia si è intensificata il 24 ottobre quando i funzionari olandesi della sicurezza informatica hanno confermato che la vulnerabilità viene attivamente sfruttata in natura.
Microsoft invita gli amministratori ad applicare immediatamente il nuovo aggiornamento cumulativo, poiché sostituisce una correzione precedente e incompleta del rilascio del Patch Tuesday di ottobre.
Un difetto critico e vulnerabile: comprendere CVE-2025-59287
Con un punteggio CVSS di 9,8 su 10, la vulnerabilità rappresenta un grave rischio per le reti aziendali. Il difetto risiede all’interno di WSUS, un componente fondamentale dell’infrastruttura per innumerevoli organizzazioni, e il suo sfruttamento non richiede privilegi speciali o interazione da parte dell’utente, rendendolo particolarmente pericoloso.
Agendo come repository locale per gli aggiornamenti Microsoft, WSUS consente agli amministratori di gestire la distribuzione delle patch in modo efficiente e di risparmiare larghezza di banda.
Questo ruolo centrale, tuttavia, lo rende anche un obiettivo particolarmente potente. Un attacco riuscito a un server WSUS garantisce agli autori delle minacce un canale di distribuzione affidabile nel cuore di una rete aziendale.
Da lì, potrebbero distribuire ransomware, spyware o altro malware camuffati da aggiornamenti software legittimi su ogni workstation e server connesso, portando a una violazione catastrofica e diffusa.
Secondo l’avviso di Microsoft,”un utente malintenzionato remoto e non autenticato potrebbe inviare un evento predisposto che attiva la deserializzazione di oggetti non sicuri in un meccanismo di serializzazione legacy, risultando in codice remoto esecuzione.”
Questo tipo di difetto, noto come deserializzazione non sicura, si verifica quando un’applicazione riceve dati serializzati, un formato utilizzato per impacchettare oggetti per la trasmissione, e li ricostruisce senza verificarne adeguatamente il contenuto.
A l’analisi tecnica del ricercatore Batuhan Er di HawkTrace ha rivelato l’exploit prende di mira un oggetto”AuthorizationCookie”, consentendo a un utente malintenzionato di iniettare ed eseguire codice dannoso con i più alti privilegi di sistema.
Gli esperti di sicurezza hanno lanciato allarmi sul potenziale di una diffusione rapida e automatizzata. Dustin Childs della Zero Day Initiative di Trend Micro ha avvertito che“la vulnerabilità è wormable tra i server WSUS interessati e i server WSUS sono un’interessante target.”
Un exploit”wormable”può auto-propagarsi da un sistema vulnerabile a un altro senza intervento umano, creando il potenziale per una compromissione a cascata dell’intera rete da un singolo punto di ingresso.
Una minaccia in rapida escalation
Dopo il rilascio pubblico di un exploit proof-of-concept, gli amministratori si sono trovati in una corsa contro tempo.
La situazione si è evoluta da una patch di routine a un’emergenza in piena regola in poco più di una settimana, evidenziando la natura frenetica delle moderne minacce informatiche.
Microsoft ha inizialmente risolto la vulnerabilità nel rilascio previsto del Patch Tuesday del 14 ottobre, ma in seguito si è scoperto che questa correzione era incompleta, lasciando i server esposti.
Il livello di minaccia è aumentato notevolmente quando il ricercatore di sicurezza Batuhan Er ha pubblicato il suo un’analisi dettagliata e un exploit proof-of-concept funzionante.
La disponibilità pubblica del codice dell’exploit funzionale funge da guida per i criminali informatici, abbassando significativamente la barriera che impedisce agli aggressori meno esperti di sfruttare la vulnerabilità come arma e lanciare attacchi diffusi contro sistemi privi di patch.
La conferma dello sfruttamento attivo è arrivata rapidamente il 24 ottobre. Il Centro nazionale olandese per la sicurezza informatica (NCSC) ha emesso un avviso affermando che“ha appreso da un partner fidato che l’abuso della vulnerabilità (…) è stato osservato il 24 ottobre 2025.”
Questa conferma ufficiale ha spostato la vulnerabilità da un rischio teorico a un pericolo chiaro e attuale, richiedendo la risposta di emergenza fuori banda di Microsoft per contenere la minaccia.
Mitigazione urgente: applicare patch ora o isolare i server
In risposta agli exploit attivi e al PoC pubblico, Microsoft ha rilasciato un aggiornamento fuori banda completo il 23 ottobre. L’azienda ha sottolineato l’importanza di un’azione immediata, fornendo aggiornamenti specifici per tutti i sistemi Windows interessati. Versioni server:
Per gli amministratori che non sono in grado di distribuire immediatamente la patch, la società ha descritto in dettaglio due potenziali soluzioni alternative.
La prima è disattivare temporaneamente il ruolo del server WSUS interamente. Il secondo prevede il blocco di tutto il traffico in entrata verso le porte 8530 e 8531 sul firewall host del server.
Sebbene siano efficaci nel fermare l’exploit, queste misure rendono WSUS non operativo, creando una scelta difficile per gli amministratori poiché interrompe il flusso di tutti gli aggiornamenti di sicurezza critici verso le macchine client.
Microsoft ha inoltre chiarito la natura della nuova patch, sottolineandone la semplicità. Secondo una dichiarazione dell’azienda,”questo è un aggiornamento cumulativo, quindi non è necessario applicare eventuali aggiornamenti precedenti prima di installare questo aggiornamento, poiché sostituisce tutti gli aggiornamenti precedenti per le versioni interessate.”
A dopo l’installazione è necessario riavviare il sistema per completare il processo. Come effetto collaterale minore, Microsoft ha notato che l’aggiornamento rimuove temporaneamente la visualizzazione dei dettagli dell’errore di sincronizzazione nell’interfaccia WSUS per risolvere completamente il difetto.
