新修复的微软 WSUS 严重漏洞已被积极利用
HackerNews 编译,转载请注明出处: 微软于周四发布了带外安全更新,以修复一个Windows Server Update服务中的严重漏洞。该漏洞的概念验证漏洞利用已公开,并且已在野外遭到积极利用。 相关漏洞为CVE-2025-59287(CVSS评分:9.8),这是WSUS中的一个远程代码执行漏洞。该漏洞最初由微软在上周发布的”补丁星期二”更新中进行了修复。 三位安全研究人员 MEOW、f7d8c52bec79e42795cf15888b85cbad 以及 CODE WHITE GmbH 的 Markus Wulftange 因发现并报告此漏洞而获得致谢。 该缺陷涉及WSUS中不受信任数据的反序列化问题,允许未经授权的攻击者通过网络执行代码。值得注意的是,该漏洞不影响未启用WSUS服务器角色的Windows服务器。 在一个假设的攻击场景中,远程未经身份验证的攻击者可以发送一个特制的事件,该事件会在”传统序列化机制”中触发不安全的对象反序列化,从而导致远程代码执行。 根据HawkTrace的安全研究员Batuhan Er的说法,该问题”源于发送到GetCookie()端点的AuthorizationCookie对象的不安全反序列化,其中加密的cookie数据使用AES-128-CBC解密,随后通过BinaryFormatter进行反序列化,但缺乏适当的类型验证,从而使得能够以SYSTEM权限执行远程代码。” 值得注意的是,微软自己此前曾建议开发人员停止使用BinaryFormatter进行反序列化,因为该方法在处理不受信任的输入时不安全。BinaryFormatter的一个实现随后在2024年8月的.NET 9中被移除。 “为全面解决CVE-2025-59287,微软已为以下受支持的Windows Server版本发布了带外安全更新:Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2022, 23H2版(Server Core安装)以及Windows Server 2025,”微软在一次更新中表示。 安装补丁后,建议执行系统重启以使更新生效。如果无法应用此带外更新,用户可以采取以下任一行动来防范该漏洞: 在服务器中禁用WSUS服务器角色(如已启用) 在主机防火墙上阻止对端口8530和8531的入站流量 “在安装更新之前,请勿撤销任何这些临时解决方案,”微软警告说。 此消息发布之际,荷兰国家网络安全中心表示,其从”可信合作伙伴处获悉,在2025年10月24日观察到了CVE-2025-59287的滥用行为。” 向NCSC-NL报告了此次野外利用的Eye Security表示,他们首次观察到该漏洞在UTC时间早上6:55被利用,目的是投递一个针对某未具名客户的Base64编码的有效载荷。该有效载荷是一个.NET可执行文件,”获取请求头’aaaa’的值并使用cmd.exe直接运行它。” “这是发送给服务器的有效载荷,它使用名为’aaaa’的请求头作为要执行命令的源,” Eye Security的首席技术官Piet Kerkhofs告诉The Hacker News。”这避免了命令直接出现在日志中。” 当被问及利用行为是否可能早于今天发生时,Kerkhofs指出,”HawkTrace的概念验证两天前就发布了,它可以使用标准的ysoserial .NET有效载荷,所以是的,利用所需的要素已经具备。” 网络安全公司Huntress也表示,他们检测到威胁行为者从大约UTC时间2025年10月23日23:34开始,针对公开暴露在其默认端口(8530/TCP和8531/TCP)上的WSUS实例。然而,该公司指出,由于WSUS通常不会暴露8530和8531端口,CVE-2025-59287的利用范围可能有限。 “攻击者利用暴露的WSUS端点发送特制请求(对WSUS Web服务的多个POST调用),触发了针对更新服务的反序列化远程代码执行,”该公司表示。 此次利用活动导致WSUS工作进程生成了”cmd.exe”和PowerShell实例,从而下载并执行了一个Base64编码的PowerShell有效载荷,目的是枚举暴露的服务器以获取网络和用户信息,并将结果外泄到攻击者控制的webhook[.]site URL。 “我们现在看到对微软WSUS服务中的预身份验证远程代码执行漏洞进行了无差别的野外利用,该漏洞在10月初被披露,” watchTowr的Benjamin Harris在一份声明中表示。”此漏洞的利用是无差别的。” “如果一个未打补丁的WSUS实例在线,那么在此阶段,它很可能已经被攻陷。在2025年,真的没有任何合法理由让WSUS可以从互联网访问——任何处于这种情况的组织可能需要指导来了解他们是如何陷入这种境地的。” “我们已经观察到8000多个实例暴露在外,包括极其敏感、高价值的组织。这不仅限于低风险环境——一些受影响的实体正是攻击者优先考虑的目标类型。” 当联系置评时,微软的一位发言人告诉该刊物:”我们在发现初始更新未能完全缓解该问题后重新发布了此CVE。已安装最新更新的客户已受到保护。” 该公司还强调,该问题不影响未启用WSUS服务器角色的服务器,并建议受影响的客户遵循其CVE页面上的指南。 鉴于概念验证漏洞利用的可用性和已检测到的利用活动,用户必须尽快应用补丁以减轻威胁。美国网络安全和基础设施安全局也已将该漏洞添加到其已知被利用漏洞目录中,要求联邦机构在2025年11月14日之前进行修复。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文