Специалисты по безопасности подтвердили появление публичного proof-of-concept кода для критической уязвимости в компоненте Windows Server Update Services (WSUS), отслеживаемой как CVE-2025-59287. Уязвимость связана с небезопасной десериализацией данных и позволяет удалённо выполнять код с правами SYSTEM на серверах, где включена роль WSUS Server (функция, которая по умолчанию не активирована).
Кто подвержен риску
Пострадать могут только серверы Windows с включённой ролью WSUS Server, используемые как источник обновлений (update source) для других WSUS-серверов в организации. Если роль WSUS не установлена — система уязвимости не имеет. Однако в корпоративных инфраструктурах WSUS часто разворачивают именно для централизованного распространения обновлений, поэтому риск для ИТ-парков остаётся значительным.
Публичные эксплойты и активные атаки
В минувшие дни несколько исследовательских групп опубликовали PoC-код, а некоторые компании по кибербезопасности сообщили о сканировании и попытках эксплуатации уязвимости в реальной среде. В частности, исследование и PoC от HawkTrace описывают техническую природу проблемы (unsafe deserialization в WSUS), а наблюдения голландской компании по кибербезопасности указывают на попытки сканирования и подтверждённые компрометации у клиентов. Появление публичного PoC резко повышает вероятность массовых атак.
Что сделал Microsoft
Microsoft выпустила внеплановые (out-of-band, OOB) накопительные обновления для всех поддерживаемых версий Windows Server, чтобы «комплексно устранить CVE-2025-59287». Администраторам рекомендовано как можно скорее установить соответствующий пакет для своей версии сервера. Перечень релизов (примеры):
- Windows Server 2025 — KB5070881 (OS Build 26100.6905)
- Windows Server, версия 23H2 — KB5070879 (OS Build 25398.1916)
- Windows Server 2022 — KB5070884 (OS Build 20348.4297)
- Windows Server 2019 — KB5070883 (OS Build 17763.7922)
- Windows Server 2016 — KB5070882 (OS Build 14393.8524)
- Windows Server 2012 R2 — KB5070886 (6.3.9600.22826)
- Windows Server 2012 — KB5070887 (6.2.9200.25728)
Патчи распространяются как накопительные обновления — их установка заменяет предыдущие исправления для соответствующих версий. Microsoft также описывает временные меры и обходы для случаев, когда немедленный развёртывание патча невозможно.
Компания отмечает, что эти обновления загружаются и устанавливаются автоматически. Вы также можете скачать нужное обновление из Каталога Центра обновления Майкрософт и установить его вручную по ссылке ниже:
Скачать обновления Windows Server
Рекомендации для администраторов (практические шаги)
- Установите OOB-патч как можно быстрее. Проверьте центр обновлений и каталоги KB для вашей версии и примените соответствующее обновление.
- Если не можете сразу патчить — отключите роль WSUS на уязвимых серверах или временно изолируйте серверы в сети. Для проверки наличия роли и её удаления можно использовать PowerShell (запустить от администратора на сервере):
Get-WindowsFeature -Name UpdateServices
- Если роль установлена и требуется временно её убрать:
Uninstall-WindowsFeature -Name UpdateServices -Remove -Restart
Внимание: удаление роли остановит централизованное распространение обновлений — планируйте окно обслуживания.
- Заблокируйте доступ к WSUS-портам извне (по возможности) — по умолчанию WSUS использует TCP 8530 (HTTP) и 8531 (HTTPS). Заблокируйте эти порты на границе сети или межсетевых экранах для публично доступных интерфейсов до установки патчей.
- Проверьте установленные патчи: выполните на каждом сервере (с административными правами):
Get-HotFix | Where-Object { $_.HotFixID -in @(&&KB5070881&&,&&KB5070879&&,&&KB5070884&&,&&KB5070883&&,&&KB5070882&&,&&KB5070886&&,&&KB5070887&&) }
- или проверьте конкретный KB(замените идентификатор на нужный):
Get-HotFix -Id KB5070881
- Ищите индикаторы компрометации (IoC): наблюдайте за логами IIS/WSUS, событиями безопасности (Event Log), неожиданными процессами и сетью. Если найдены аномалии — изолируйте систему и проведите forensic-анализ.
- Мониторинг и сканирование внешних сервисов: проверьте, доступны ли ваши WSUS-серверы из интернета. Исследователи уже находили порядка тысяч публично доступных экземпляров, что повышает риск автоматизированных атак. Рассмотрите запрет публичного доступа и перевод управления обновлениями во внутреннюю сегментированную сеть.
- Отслеживайте официальные предупреждения национальных центров и производителей — например, NCSC-NL и другие CERT/NCERT уже выпустили предупреждения об активной эксплуатации CVE-2025-59287.
Кратко о технической природе уязвимости
Проблема — небезопасная десериализация (CWE-502) данных, принимаемых WSUS (в частности, механизмы обработки cookie/сессий и десериализации объектов), что позволяет передать специально сформированные данные по сети и вызвать выполнение произвольного кода на стороне сервера без аутентификации и взаимодействия с пользователем. Такая комбинация делает уязвимость крайне серьёзной (CVSS 9.8) и потенциально «червеобразной» в сценариях передачи между WSUS-серверами.
CVE-2025-59287 — критическая уязвимость в WSUS с публично доступными PoC и подтверждёнными попытками эксплуатации в реальной среде. Если в вашей сети есть сервера с ролью WSUS — срочно проверьте их статус, временно изолируйте или отключите роль при необходимости и установите экстренные обновления Microsoft для соответствующей версии Windows Server.
Последние статьи #Microsoft
• Обновление KB5067109 (Build 26120.6982) для Windows 11, версия 24H2 (Beta)
• Обновление KB5067109 (Build 26220.6982) для Windows 11, версия 25H2 (Dev)
• ИИ-ассистент Gaming Copilot в Windows 11 по умолчанию собирает данные, пока вы играете
• Критическая уязвимость в WSUS для Windows Server используется в реальных атаках — установите патч немедленно
• Нативное приложение Microsoft Copilot для Windows 11 и Windows 10. Как установить и получить доступ в России
• Microsoft Copilot получил аватара Mico, функцию «честный разговор» и поддержку группового общения