Microsoft ka lëshuar një përditësim urgjent të sigurisë jashtë brezit për të rregulluar një dobësi kritike në Shërbimet e tij të Përditësimit të Serverit të Windows (WSUS).
E meta, CVE-2025-59287, i lejon sulmuesit të ekzekutojnë kodin nga distanca në serverët e cenueshëm pa ndonjë ndërveprim të nevojshëm të përdoruesit, pa ndonjë ndërveprim të nevojshëm të përdoruesit.
shfrytëzimi i provës së konceptit u publikua në internet. Kërcënimi u përshkallëzua më 24 tetor kur zyrtarët holandezë të sigurisë kibernetike konfirmuan se cenueshmëria po shfrytëzohet në mënyrë aktive në natyrë.
Microsoft është duke aplikuar përditësimin e ri të softuerit. menjëherë, si ai zëvendëson një rregullim të mëparshëm, të paplotë nga publikimi i së martës së Tetorit.
Një e metë kritike, e dëmshme: Kuptimi i CVE-2025-59287
Me një rezultat CVSS prej 9.8 nga 10, cenueshmëria përfaqëson një rrezik i rëndë për rrjetet e ndërmarrjeve. E meta qëndron brenda WSUS, një komponent thelbësor i infrastrukturës për organizata të panumërta, dhe shfrytëzimi i tij nuk kërkon privilegje të veçanta ose ndërveprim me përdoruesit, duke e bërë atë veçanërisht të rrezikshëm.
Duke vepruar si një depo lokale për përditësimet e Microsoft, WSUS lejon administratorët të menaxhojnë vendosjen e patch-it në mënyrë efikase dhe ta ruajnë atë në mënyrë të fuqishme
një gjerësi bande qendrore. objektiv. Një sulm i suksesshëm në një server WSUS u jep aktorëve të kërcënimit një kanal shpërndarjeje të besuar në zemrën e një rrjeti të korporatës.
Prej andej, ata mund të vendosin ransomware, spyware ose malware të tjerë të maskuar si përditësime legjitime të softuerit në çdo stacion pune dhe server të lidhur, duke çuar në një shkelje katastrofike, të përhapur
. href=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287″target=”_blank”>Sipas këshillës së Microsoft-it,”një sulmues i largët, i paautentikuar mund të dërgojë një ngjarje të krijuar që shkakton mekanizëm të pasigurt të rikodifikimit të trashëgimisë në serialmote, si rezultat i deserializimit të trashëgimisë. ekzekutimi.”
Ky lloj defekti, i njohur si deserializimi i pasigurt, ndodh kur një aplikacion merr të dhëna të serializuara-një format që përdoret për paketimin e objekteve për transmetim-dhe i rindërton ato pa verifikuar siç duhet përmbajtjen e tij.
Ekspertët e sigurisë kanë ngritur alarme për mundësinë e përhapjes së shpejtë dhe të automatizuar. Dustin Childs of Trend Micro’s Zero Day Initiative paralajmëroi se“vulnerabiliteti midis serverëve të SHBA-së është i ndikuar nga WRMS objektiv.”
Një shfrytëzim”i zbehtë”mund të përhapet vetë nga një sistem vulnerabël në tjetrin pa ndërhyrjen njerëzore, duke krijuar potencialin për një kompromis kaskadues, në të gjithë rrjetin nga një pikë e vetme hyrëse.
Një kërcënim me përshkallëzim të shpejtë
Në ndjekjen e vetë administratorëve të një provimi të eksplorimit të publikut, konstatohet një provim i ekspozimit të publikut. garë kundër kohë.
Situata evoluoi nga një rregullim rutinë në një urgjencë të plotë brenda pak më shumë se një jave, duke theksuar natyrën me ritëm të shpejtë të kërcënimeve kibernetike moderne.
Microsoft fillimisht e trajtoi cenueshmërinë në versionin e planifikuar të së martës së 14 tetorit, por ky rregullim u zbulua më vonë se ishte i paplotë. Batuhan Er publikoi të tijën një analizë e detajuar dhe një eksploat funksional i provës së konceptit.
Disponueshmëria publike e kodit të shfrytëzimit funksional vepron si një libër lojërash për kriminelët kibernetikë, duke ulur ndjeshëm pengesën për sulmuesit më pak të aftë për të armatosur cenueshmërinë dhe për të nisur sulme të përhapura kundër sistemeve të papatchuara.
Qendra Kombëtare Holandeze e Sigurisë Kibernetike (NCSC) lëshoi një sinjalizim ku thuhej se“ka mësuar nga një partner i besuar se abuzimi i cenueshmërisë (…) është vërejtur më 24 tetor, konfirmimi zyrtar
p. nga një rrezik teorik në një rrezik të qartë dhe aktual, duke nxitur reagimin emergjent të Microsoft-it jashtë brezit për të frenuar kërcënimin.
Zbutje urgjente: Patch Tani ose Izoloni serverët
Në përgjigje ndaj shfrytëzimeve aktive dhe PoC publike, Microsoft lëshoi një veprim gjithëpërfshirës jashtë brezit, duke ofruar rëndësinë e përditësimit specifik jashtë brezit të kompanisë në tetor. të gjithë të prekur Versionet e Windows Server:
Për administratorët që nuk janë në gjendje të vendosin patch-in menjëherë, kompania detajoi dy zgjidhje të mundshme të zgjidhjes.
Roli i parë që mund të ndahet përkohësisht në SHBA është
Serveri. tërësisht. E dyta përfshin bllokimin e të gjithë trafikut hyrës në portet 8530 dhe 8531 në murin e zjarrit pritës të serverit.
Ndërsa janë efektive në ndalimin e shfrytëzimit, këto masa e bëjnë WSUS jo funksional, duke krijuar një zgjedhje të vështirë për administratorët pasi ndalon rrjedhën e të gjitha përditësimeve kritike të sigurisë për kompjuterat e klientëve të ri.
duke theksuar thjeshtësinë e tij. Sipas një deklarate të kompanisë,”ky është një përditësim kumulativ, kështu që nuk keni nevojë të aplikoni ndonjë përditësim të mëparshëm përpara se të instaloni këtë përditësim, pasi përditësimet e mëparshme i zëvendësojnë të gjitha.”Rinisja e sistemit kërkohet pas instalimit për të përfunduar procesin. Si një efekt anësor i vogël, Microsoft vuri në dukje se përditësimi heq përkohësisht shfaqjen e detajeve të gabimit të sinkronizimit në ndërfaqen WSUS për të adresuar plotësisht defektin.
