Microsoft выпустила внеплановые обновления, устраняющие критическую уязвимость CVE-2025-59287 в компоненте Windows Server Update Services (WSUS). Ошибка позволяет удалённому неаутентифицированному злоумышленнику выполнить код с правами SYSTEM, отправив на сервер специально сформированное событие. Поскольку эксплоит уже опубликован, а первые атаки зафиксированы, корпорация рекомендует установить патчи немедленно.
Проблеме подвержены только те версии Windows Server, где активирована роль WSUS. Если функция ранее не включалась, машина остаётся в безопасности до момента её активации. Исправления доступны для Windows Server 2025 (KB5070881), 23H2 (KB5070879), 2022 (KB5070884), 2019 (KB5070883), 2016 (KB5070882), 2012 R2 (KB5070886) и 2012 (KB5070887). После установки апдейта WSUS временно перестанет отображать детали ошибок синхронизации — этот механизм отключён во избежание повторной эксплуатации.
CVE-2025-59287 вызвана небезопасной десериализацией объектов в устаревшем механизме сериализации. Уязвимость может распространяться червеподобно между WSUS-серверами, так как не требует участия пользователя и использует стандартные порты 8530/8531. Eye Security обнаружила около 2500 доступных из интернета экземпляров WSUS и уже зафиксировала компрометацию одного из клиентов. Huntress сообщила о 25 уязвимых хостах в партнёрской сети и зарегистрировала атаки, в которых злоумышленники через PowerShell собирали сведения о домене и сетевой конфигурации.
Администраторам, не готовым сразу установить патч, Microsoft предлагает временно отключить роль WSUS или заблокировать входящий трафик на порты 8530 и 8531, что, однако, лишит рабочие станции возможности получать обновления с локального сервера. Эксперты подчёркивают, что из-за публичного PoC окно для установки заплат крайне ограничено: чем дольше сервер остаётся без KB-обновления, тем выше риск удалённого захвата.
WSUS — ключевой инструмент централизованного распространения обновлений Windows в корпоративных сетях. Он синхронизируется с Microsoft Update, хранит пакеты локально и устанавливает их на клиентские ПК согласно политикам компании. Поэтому эксплуатация CVE-2025-59287 способна нарушить сразу и процесс обновления, и общую безопасность инфраструктуры. Установка свежих патчей — самый простой и надёжный способ закрыть критическую дыру.