Microsoft は、Windows Server Update Services (WSUS) の重大な脆弱性を修正するための緊急のアウトオブバンド セキュリティ アップデートをリリースしました。
この欠陥 CVE-2025-59287 により、攻撃者はユーザーの介入なしに脆弱なサーバー上でリモートからコードを実行できます。
10 月 23 日に発行された緊急パッチは、概念実証エクスプロイトがオンラインで公開された後に必要になりました。 10 月 24 日にオランダのサイバーセキュリティ当局者が、この脆弱性が実際に積極的に悪用されていることを確認したため、脅威はさらに拡大しました。
Microsoft は管理者に対し、新しい累積的な更新プログラムを直ちに適用するよう促しています。 これは、10 月のパッチ火曜日リリースの不完全な修正を置き換えるためです。
重大で危険な欠陥: CVE-2025-59287 について
CVSS スコアは 10 点中 9.8 で、この脆弱性は 企業ネットワークに対する重大なリスク。この欠陥は、無数の組織のコア インフラストラクチャ コンポーネントである WSUS 内に存在し、その悪用には特別な権限やユーザーの操作が必要ないため、特に危険です。
WSUS は Microsoft アップデートのローカル リポジトリとして機能するため、管理者はパッチの展開を効率的に管理し、帯域幅を節約できます。
この中心的な役割により、WSUS は独特の強力なターゲットにもなります。 WSUS サーバーへの攻撃が成功すると、攻撃者は企業ネットワークの中心部への信頼できる配布チャネルを獲得します。
そこから、正規のソフトウェア アップデートを装ったランサムウェア、スパイウェア、その他のマルウェアが、接続されているすべてのワークステーションやサーバーに展開され、壊滅的な広範な侵害につながる可能性があります。
Microsoft の勧告によると、「リモートの認証されていない攻撃者が、従来のシリアル化メカニズムで安全でないオブジェクトのシリアル化解除をトリガーする細工されたイベントを送信し、リモート コードが生成される可能性があります。
安全でない逆シリアル化として知られるこのタイプの欠陥は、アプリケーションがシリアル化されたデータ (送信用にオブジェクトをパッケージ化するために使用される形式) を受信し、その内容を適切に検証せずにそれを再構築した場合に発生します。
A HawkTrace の研究者 Batuhan Er による技術分析により、 このエクスプロイトは「AuthorizationCookie」オブジェクトをターゲットにしており、攻撃者が最高のシステム権限で悪意のあるコードを挿入して実行できるようになります。
セキュリティ専門家は、急速かつ自動化された拡散の可能性について警鐘を鳴らしています。 Trend Micro の Zero Day Initiative の Dustin Childs 氏は、「この脆弱性は影響を受ける WSUS サーバー間でワーム化可能であり、WSUS サーバーは魅力的なものである」と警告しました。
「ワーム化可能な」エクスプロイトは、人間の介入なしに 1 つの脆弱なシステムから別のシステムに自己伝播する可能性があり、単一のエントリ ポイントから連鎖的にネットワーク全体に侵入する可能性を生み出します。
急速に拡大する脅威
概念実証エクスプロイトの一般公開後、管理者は時間との競争に陥っていることに気づきました。
状況はわずか 1 週間で日常的なパッチから本格的な緊急事態に発展し、現代のサイバー脅威のペースの速さを浮き彫りにしました。
Microsoft は当初、予定されていた 10 月 14 日のパッチ火曜日リリースでこの脆弱性に対処しましたが、後にこの修正が不完全であることが判明し、サーバーが危険にさらされたままになりました。
セキュリティ研究者の Batuhan Er 氏が詳細な分析と
機能的なエクスプロイト コードの公開は、サイバー犯罪者の戦略として機能し、スキルの低い攻撃者が脆弱性を武器にして、パッチが適用されていないシステムに対して広範な攻撃を開始する障壁を大幅に下げます。
アクティブなエクスプロイトの確認は 10 月 24 日に迅速に行われました。オランダ国立サイバー セキュリティ センター (NCSC) 警告を発行しました。「信頼できるパートナーから、2025 年 10 月 24 日に脆弱性の悪用 (…) が観察されたことを知りました。」
この公式確認により、脆弱性は理論上のリスクから移行しました。
緊急の緩和策: 今すぐパッチを適用するか、サーバーを隔離する
活発なエクスプロイトと公開 PoC に対応して、Microsoft は 10 月 23 日に包括的なアウトオブバンド アップデートを発行しました。同社は、影響を受けるすべての Windows Server に特定のアップデートを提供する、即時対応の重要性を強調しました。 バージョン:
管理者がパッチをすぐに展開できない場合、同社は考えられる 2 つの回避策を詳しく説明しました。
1 つ目は、WSUS サーバーの役割を一時的に完全に無効にすることです。 2 つ目は、サーバーのホスト ファイアウォールでポート 8530 と 8531 へのすべての受信トラフィックをブロックすることです。
これらの対策は、エクスプロイトを阻止するのには効果的ですが、WSUS を動作不能にし、クライアント マシンへのすべての重要なセキュリティ更新プログラムのフローを停止するため、管理者にとって難しい選択になります。
Microsoft はまた、新しいパッチの性質を明確にし、その単純さを強調しました。 企業の声明によると、「これは累積的な更新プログラムであるため、影響を受けるバージョンの以前のすべての更新プログラムに優先するため、この更新プログラムをインストールする前に以前の更新プログラムを適用する必要はありません。」
インストール後にプロセスを完了するにはシステムを再起動する必要があります。軽微な副作用として、Microsoft は、欠陥を完全に解決するために、このアップデートにより WSUS インターフェースでの同期エラーの詳細の表示が一時的に削除されることを指摘しました。
