攻擊者目前正利用Windows服務(wù)器更新服務(wù)（WSUS）的一個(gè)高危漏洞發(fā)起攻擊，該漏洞的概念驗(yàn)證（PoC）利用代碼已公開(kāi)。

該漏洞編號(hào)為CVE-2025-59287，屬于遠(yuǎn)程代碼執(zhí)行漏洞，僅影響一類Windows服務(wù)器——需啟用“WSUS服務(wù)器角色”，且作為組織內(nèi)部其他WSUS服務(wù)器的更新源（此功能默認(rèn)未開(kāi)啟）。

威脅者可通過(guò)低復(fù)雜度攻擊遠(yuǎn)程利用該漏洞，無(wú)需權(quán)限驗(yàn)證或用戶交互，即可獲得SYSTEM權(quán)限（系統(tǒng)最高權(quán)限）并執(zhí)行惡意代碼。在此情況下，該安全漏洞還可能在WSUS服務(wù)器之間形成蠕蟲(chóng)式傳播。

微軟目前針對(duì)所有受影響的Windows Server版本發(fā)布了非常規(guī)安全更新（非“補(bǔ)丁星期二”常規(guī)更新），以“全面修復(fù)CVE-2025-59287漏洞”，并建議IT管理員盡快安裝，具體補(bǔ)丁如下：

-Windows Server 2025（補(bǔ)丁編號(hào)KB5070881）

-Windows Server 23H2版本（補(bǔ)丁編號(hào)KB5070879）

-Windows Server 2022（補(bǔ)丁編號(hào)KB5070884）

-Windows Server 2019（補(bǔ)丁編號(hào)KB5070883）

-Windows Server 2016（補(bǔ)丁編號(hào)KB5070882）

-Windows Server 2012 R2（補(bǔ)丁編號(hào)KB5070886）

-Windows Server 2012（補(bǔ)丁編號(hào)KB5070887）

對(duì)于無(wú)法立即部署緊急補(bǔ)丁的管理員，微軟還提供了臨時(shí)緩解方案，包括在受影響系統(tǒng)上禁用WSUS服務(wù)器角色，以消除攻擊路徑。

隨后，網(wǎng)絡(luò)安全公司HawkTrace Security發(fā)布了CVE-2025-59287的概念驗(yàn)證利用代碼，但該代碼暫不支持執(zhí)行任意命令。

在野攻擊已出現(xiàn)：多國(guó)監(jiān)測(cè)到掃描與入侵行為

1. 荷蘭Eye Security：全球超2500臺(tái)設(shè)備暴露，部分系統(tǒng)遭入侵

荷蘭網(wǎng)絡(luò)安全公司Eye Security報(bào)告稱，已監(jiān)測(cè)到針對(duì)該漏洞的掃描與利用嘗試，其至少一名客戶的系統(tǒng)已被入侵——攻擊者使用的利用工具與HawkTrace周末發(fā)布的版本不同。

該公司還指出，盡管WSUS服務(wù)器通常不會(huì)暴露在公網(wǎng)，但全球仍有約2500臺(tái)此類設(shè)備可被公網(wǎng)訪問(wèn)，其中德國(guó)約250臺(tái)、荷蘭約100臺(tái)。

2. 美國(guó)Huntress：10月23日起出現(xiàn)針對(duì)性攻擊，聚焦暴露默認(rèn)端口的設(shè)備

美國(guó)網(wǎng)絡(luò)安全公司Huntress發(fā)現(xiàn)，自10月23日起，已有攻擊者針對(duì)公網(wǎng)暴露默認(rèn)端口（8530/TCP和8531/TCP）的WSUS設(shè)備發(fā)起CVE-2025-59287攻擊。

該公司監(jiān)測(cè)到的攻擊中，威脅者執(zhí)行了PowerShell偵察命令，收集內(nèi)部Windows域信息并通過(guò)網(wǎng)絡(luò)鉤子發(fā)送，收集的數(shù)據(jù)包括以下命令輸出：

-whoami：當(dāng)前登錄用戶名

-net user /domain：列出Windows域內(nèi)所有用戶賬戶

-ipconfig /all：顯示所有網(wǎng)絡(luò)接口的配置信息

3. 荷蘭國(guó)家網(wǎng)絡(luò)安全中心（NCSC-NL）：證實(shí)攻擊存在，風(fēng)險(xiǎn)持續(xù)升高

荷蘭國(guó)家網(wǎng)絡(luò)安全中心證實(shí)了上述兩家公司的發(fā)現(xiàn)，并在預(yù)警中提醒管理員。該機(jī)構(gòu)強(qiáng)調(diào)：“WSUS服務(wù)通常不會(huì)通過(guò)公網(wǎng)開(kāi)放訪問(wèn)，但目前該漏洞的公開(kāi)概念驗(yàn)證代碼已出現(xiàn)，導(dǎo)致利用風(fēng)險(xiǎn)顯著上升?！?/p>

目前，微軟已將CVE-2025-59287的風(fēng)險(xiǎn)等級(jí)定為“極可能被利用”，表明該漏洞對(duì)攻擊者具有較強(qiáng)吸引力；不過(guò)截至目前，微軟尚未更新安全公告以確認(rèn)該漏洞已遭在野利用。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-windows-server-wsus-flaw-in-attacks/