Une vulnérabilité critique de Microsoft WSUS est exploitée dans la nature (CVE-2025-59287)
Résumé
Le 23 octobre, Microsoft a publié une mise à jour de sécurité hors bande pour corriger une vulnérabilité signalée précédemment, identifiée comme CVE-2025-59287. Cette vulnérabilité affecte le composant Windows Server Update Service (WSUS) et peut permettre à des attaquants non autorisés d'exécuter du code à distance sur les serveurs WSUS. En cas d'exploitation, les acteurs de la menace pourraient utiliser cette vulnérabilité pour diffuser des logiciels malveillants sur les systèmes Windows configurés pour recevoir des mises à jour du serveur WSUS compromis. La mise à jour hors bande était probablement une réponse au code d'exploitation de preuve de concept (PoC) publié par une société de cybersécurité Hawk Trace, suivi de rapports faisant état de tentatives d'exploitation émanant de groupes d'acteurs malveillants dans la nature observées par une société de cybersécurité Chasseresse.
Le WSUS est un composant de Windows Server qui permet aux administrateurs informatiques de centraliser les mises à jour des produits Microsoft au sein d'une organisation. WSUS est un composant plus ancien et Microsoft a indiqué son intention de rendre le service obsolète au profit d'un système plus récent appelé SCCM. Il est important de noter que SCCM exploite WSUS « en arrière-plan » pour permettre la distribution des mises à jour de Windows. Bien que le déploiement de serveurs WSUS directement connectés à Internet ne soit pas standard ou par défaut, certains cas d'utilisation peuvent l'exiger, et Beazley Security a identifié plusieurs milliers d'instances WSUS exposées à Internet en utilisant notre télémétrie.
Les organisations concernées doivent s'efforcer d'appliquer les mises à jour logicielles documentées dans la section « Systèmes et produits concernés » de cet avis dès que possible, même si leurs serveurs WSUS ne sont pas exposés publiquement. Outre l'exploitation active de cette vulnérabilité ciblant les serveurs WSUS connectés à Internet, Beazley Security pense que les groupes cybercriminels exploiteront cette vulnérabilité à l'avenir pour distribuer des rançongiciels aux ordinateurs clients WSUS.
Systèmes et produits concernés
Le CVE-2025-59287 affecte Microsoft Windows Server lorsque le WSUS est activé. Consultez le tableau ci-dessous pour connaître les numéros de version hors bande correspondant aux versions fixes. Reportez-vous également à la section Atténuations et solutions pour obtenir des conseils si les correctifs ne peuvent pas être appliqués immédiatement.
Atténuations et solutions de contournement
Les solutions de contournement officielles fournies par Microsoft se trouvent sur le consultatif. Il s'agit essentiellement des éléments suivants :
- Désactiver le rôle de serveur WSUS sur les installations de serveur Windows vulnérables
- Bloquer le trafic réseau entrant vers les ports 8530 et 8531 sur le pare-feu de l'hôte
Ces deux actions désactiveront efficacement le service de mise à jour WSUS, bloquant ainsi les mises à jour pour les ordinateurs clients. Cela peut être fait temporairement jusqu'à ce que les mises à jour puissent être appliquées au serveur WSUS.
Patchs
Consultez le tableau ci-dessus pour les versions fixes requises. Des liens vers des articles spécifiques de la base de connaissances et des emplacements de mises à jour logicielles se trouvent dans le Microsoft consultatif.
Détails techniques
Le bogue logiciel à l'origine de CVE-2025-59287 est une désérialisation non sécurisée. Lorsque les systèmes logiciels transmettent des données sur un réseau, ils doivent parfois traduire des objets en mémoire en flux d'octets pouvant être transmis sur Internet. Le système récepteur inversera ensuite cette traduction, transformant un flux d'octets en un objet de données à utiliser en mémoire. Ce processus est appelé sérialisation et désérialisation.
Les systèmes qui utilisent ce procédé présentent souvent deux points faibles :
- Clés de chiffrement faibles ou compromises utilisées pour chiffrer les objets sérialisés
- Nettoyage insuffisant des données avant le traitement des objets reçus
Ces deux problèmes semblent liés ici, car l'exploit de preuve de concept développé par HawkTrace fait référence à une « HexKey » codée en dur, « 877C14E433638145AD21BD0C17393071 », et à une grande chaîne en base64 qui, une fois décodée, contient les sous-chaînes suivantes :
« calc »« System.DelegateSerializationHolder+DelegateEntry »« System.Diagnostics.Process Start (System.String, System.String) »
Cela semble être un objet qui transmettra la chaîne « calc » au code qui démarre les processus. C'est typique du code de validation de principe créé par des chercheurs en sécurité, et il est courant de démontrer l'exécution du code en démarrant l'application de calcul Windows intégrée. Toute commande arbitraire pourrait être utilisée à la place de « calc » par un acteur de la menace pour exécuter des commandes sur une machine victime.
Comment Beazley Security réagit
Beazley Security surveille les appareils périmétriques des clients via notre plateforme de gestion des expositions afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.
Nous menons également des recherches sur les menaces dans notre environnement MDR afin de détecter les tentatives d'exploitation potentielles contre nos clients.
Si vous pensez que votre organisation a peut-être été touchée par cette campagne d'attaque et a besoin d'aide, veuillez contactez notre équipe de réponse aux incidents.
Sources
- MSRC : Vulnérabilité d'exécution de code à distance du service Windows Server Update (WSUS)
- HawkTrace : Exécution de code à distance WSUS CVE-2025-59287
- Huntress : exploitation d'une vulnérabilité d'exécution de code à distance liée à l'exploitation de Windows Server Update Services (CVE-2025-59287)
- https://cyberplace.social/@GossiTheDog/115430147992307420
Aware of an incident impacting your industry? Let us know: