آسیبپذیری بحرانی در WSUS در Windows Server اکنون در حملات مورد سوءاستفاده قرار میگیرد.
مهاجمان هماکنون در حال بهرهبرداری از یک آسیبپذیری با شدت بحرانی در Windows Server Update Service (WSUS) هستند که کد اثبات مفهوم (PoC) آن نیز بهصورت عمومی در دسترس قرار گرفته است.
این نقص که با شناسه CVE-2025-59287 ردیابی میشود و امکان اجرای کد از راه دور (RCE) را فراهم میآورد، تنها سرورهای Windows را که نقش WSUS Server را برای عمل بهعنوان منبع بهروزرسانی برای سایر سرورهای WSUS درون سازمان فعال کردهاند تحت تاثیر قرار میدهد (قابلیتی که بهطور پیشفرض فعال نیست).
عاملان تهدید میتوانند این آسیبپذیری را از راه دور و در حملاتی با پیچیدگی کم، بدون نیاز به امتیازات ویژه یا تعامل کاربر، مورد سوءاستفاده قرار دهند و بدینترتیب کد مخرب را با امتیازات SYSTEM اجرا کنند. تحت این شرایط، این نقض امنیتی میتواند قابلیت گسترش خودکار میان سرورهای WSUS (wormable) را نیز داشته باشد.
Microsoft روز پنجشنبه بهروزرسانیهای خارج از نوبت امنیتی را برای تمامی نسخههای تحت تأثیر منتشر کرد تا «بهطور جامع CVE-2025-59287 را برطرف کند» و به مدیران IT توصیه نمود آنها را در اسرع وقت نصب کنند:
- Windows Server 2025 (KB5070881)
- Windows Server, version 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
مایکروسافت همچنین راهحلهای موقت (workarounds) را برای مدیرانی که قادر به استقرار فوری این وصلههای اضطراری نیستند منتشر کرده است؛ از جمله غیرفعالسازی نقش WSUS Server بر روی سیستمهای آسیبپذیر برای حذف بردار حمله.
در طول آخر هفته، شرکت امنیتی HawkTrace Security کد اثباتِ مفهوم (PoC) برای CVE-2025-59287 را منتشر کرد که امکان اجرای دستور دلخواه را بهطور کامل فراهم نمیکند.
بهرهبرداری در میدان (Exploited in the wild)
شرکت امنیت سایبری هلندی Eye Security امروز گزارش داد که از صبح همان روز تلاشهایی برای اسکن و بهرهبرداری را مشاهده کرده است و دستکم یک سیستم از مشتریانش با استفاده از یک اکسپلویت متفاوت نسبت به آنچه Hawktrace در آخر هفته به اشتراک گذاشته بود، بهدست مهاجمان افتاده است.
علاوه بر این، در حالی که معمولاً سرورهای WSUS بهصورت عمومی در اینترنت در دسترس نیستند، Eye Security اعلام کرده حدود ۲,۵۰۰ نمونه از WSUS در سراسر جهان را یافته است که شامل حدود ۲۵۰ در آلمان و تقریباً ۱۰۰ در هلند میشود.
شرکت امنیتی آمریکایی Huntress نیز شواهدی از حملات CVE-2025-59287 را یافت که از پنجشنبه، ۲۳ اکتبر، سرورهای WSUS دارای پورتهای پیشفرض (۸۵۳۰/TCP و ۸۵۳۱/TCP) در دسترس اینترنت را هدف قرار دادهاند.
Huntress گفت: «انتظار داریم بهرهبرداری از CVE-2025-59287 محدود باشد؛ زیرا WSUS بهندرت پورتهای ۸۵۳۰ و ۸۵۳۱ را در معرض اینترنت قرار میدهد. در میان پایگاه شرکای ما، حدوداً ۲۵ میزبان آسیبپذیر مشاهده شده است.»
در حملاتی که Huntress رصد کرده است، عاملان تهدید یک دستور PowerShell اجرا کردند که شناسایی (reconnaissance) دامنه داخلی Windows را انجام داد و نتایج را به یک webhook ارسال نمود.
این دادهها شامل خروجی دستورات زیر بوده است:
- whoami — نام کاربری جاری.
- net user /domain — فهرست کلیه حسابهای کاربری در دامنه Windows.
- ipconfig /all — نمایش پیکربندی شبکه برای تمام اینترفیسهای شبکه.
مرکز ملی امنیت سایبری هلند (NCSC-NL) امروز یافتههای این دو شرکت را تأیید کرد و با توجه به در دسترس بودن PoC عمومی، به مدیران هشدار داد که ریسک بهرهبرداری افزایش یافته است.
NCSC اعلام کرد: «NCSC از یک شریک مورد اعتماد مطلع شده که بهرهبرداری از آسیبپذیری دارای شناسه CVE-2025-59287 در تاریخ ۲۴ اکتبر ۲۰۲۵ مشاهده شده است.» و افزود: «این معمول نیست که سرویس WSUS بهصورت عمومی از طریق اینترنت در دسترس باشد. در دسترس قرار گرفتن کد اثباتِ مفهوم بهصورت عمومی، ریسک بهرهبرداری را افزایش میدهد.»
Microsoft CVE-2025-59287 را در ردهبندی «Exploitation More Likely» قرار داده است که نشان میدهد این آسیبپذیری برای مهاجمان جذاب است؛ با این حال، مایکروسافت هنوز راهنمایی خود را برای تأیید بهرهبرداری فعال بهروزرسانی نکرده است.
بهروزرسانی — ۲۴ اکتبر، ۱۳:۵۱ EDT: جزئیات بیشتری در مورد بهرهبرداری فعال از سوی Huntress Labs افزوده شد.
