Поделиться
Критическую уязвимость в Windows Server уже вовсю используют в кибератаках
Начались практические атаки на «баг» в службе обновлений Windows Server. Настоятельно рекомендуется установить патчи как можно скорее.
Долго ждать не пришлось
Раскрытая на днях критическая уязвимость в Windows Server Update Service (службе обновлений Windows Server) уже стала объектом пристального внимания со стороны киберкриминала.
Речь идёт об уязвимости под индексом CVE-2025-59287 (9,8 балла по шкале CVSS 3.x), связанной с десериализацией данных из непроверенного источника, что позволяет злоумышленникам осуществлять запуск произвольного кода удалённо, через сетевые соединения.
Этот «баг» затрагивал Windows Server 2012, 2012R2, 2016, 2019,2022, 23H2 и 2025.
Корпорация Microsoft в минувший четверг выпустила отдельные исправления для каждой из них и порекомендовала установить их как можно скорее.
Стоит заметить, впрочем, что эксплуатация уязвимости возможна только на тех машинах, которые назначены серверами обновлений для других систем, работающих под Windows Server. По умолчанию эта опция отключена. Вдобавок,в большинстве случаев WSUS-серверы недоступны из интернета. Поиск, предпринятый компанией Eye Security, однако, выдал около 2500 общедоступных серверов, из которых одна десятая располагалась в Германии.
«Причина, по которой уязвимости приписан почти максимальный рейтинг угрозы, связан с тем, что потенциальным злоумышленникам потребуется предпринять очень незначительные усилия для её эксплуатации, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Плюс это весьма перспективная уязвимость для изначального вторжения и закрепления в целевых системах, за которым может последовать дальнейшее продвижение по сетевой инфраструктуре».
Легко эксплуатировать при соблюдении ряда условий
Фирма HawkTrace Security, специализирующаяся на вопросах кибербезопасности, опубликовала демонстрационный эксплойт ещё в прошлые выходные. Он, впрочем, не позволял осуществлять реальный запуск вредоносного кода или команд на атакованных системах.
С 23 октября эксперты компании Huntress обнаружили признаки попыток эксплуатации уязвимости CVE-2025-59287, не связанных с упомянутым эксплойтом.
Потенциальные злоумышленники пытались найти доступные порты 8530/TCP и 8531/TCP, которые по умолчанию используют серверы WSUS. В Huntress заявили, что продуктивность таких атак будет очень ограниченной: порты 8530/8531 редко доступны извне, и среди всех клиентов Huntress обнаружилось лишь около 25 уязвимых хостов.
В ходе наблюдавшихся атак злоумышленники запускали команды PowerShell с целью разведки сетевого окружения и отправки собранных данных на веб-перехватчик.
Использовались, как минимум, команды whoami, net user /domain и ipconfig /all, которые, в случае их успешного выполнения, снабжали потенциальных злоумышленников большим количеством ценных для будущих атак сведений.
Поделиться
Короткая ссылка
