Microsoft WSUS Remote Code Execution (CVE-2025-59287).
Microsoft WSUS Remote Code Execution (CVE-2025-59287)
En kritisk sårbarhet (RCE) i Windows Server Update Services (WSUS) ble identifisert 14. oktober 2025 og er katalogisert som CVE‑2025‑59287 (CVSS 9,8). Sårbarheten tillater en angriper, uten autentisering å kjøre vilkårlig kode med systemrettigheter på en WSUS-server. Den ble aktivt utnyttet i felten, og ble ført opp i Cybersecurity and Infrastructure Security Agency’s (CISA) katalog over kjente utnyttede sårbarheter 24. oktober. Feilen skyldes usikker deserialisering av ukontrollerte data via endepunktene GetCookie() og ReportingWebService i WSUS-rollen. Berørte systemer inkluderer Windows Server 2012, 2012 R2, 2016, 2019, 2022 (inkl. 23H2) og 2025, men kun der WSUS-rollen er aktivert. Angripere har blant annet benyttet standard TCP-porter 8530/8531 for WSUS med kjedekommandoer som peker mot PowerShell og intern rekognosering/exfiltrasjon.
Installer Microsofts ut-av-norm-oppdatering (out-of-band) fra 23. oktober 2025 umiddelbart. Hvis ikke mulig: midlertidig deaktivér WSUS-serverrollen eller blokker TCP-porter 8530 og 8531 for innkommende trafikk på brannmuren. Gjennomfør aktiv jakt (threat-hunting) etter kjennetegn på utnyttelse, som etterfølgende prosesskjeder etter wsusservice.exe eller w3wp.exe med «wsuspool». Segmenter nettverket slik at WSUS-servere ikke er eksponert mot offentlige nettverk, og kontroller aktiva-kartlegging for å identifisere WSUS-instanser eksponert mot internett.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.