吳明宜微軟上周緊急修補 Windows Server Update Service (WSUS) 內一項重大漏洞 CVE-2025-59287,因為已經遭到攻擊者利用發動攻擊。
CVE-2025-59287 為 WSUS 對未受信賴的資料的反序列漏洞,可讓未經授權的攻擊者在網路上執行程式碼,CVSS 風險值達 9.8 。
微軟於上周釋出例外安全更新,以修補多個 Windows Server 版本,並鼓勵 IT 管理員儘速安裝新版本。另外微軟也對未能更新的用戶提供暫時確保安全的方法,包括關閉 Windows Server 的 WSUS 。
資安廠商 HawkTrace Security 於 10 月中釋出 CVE-2025-59287 的概念驗證 (proof-of-concept, PoC) 攻擊程式。之後荷蘭資安公司 Eye Security 上周指出,已經觀察到有人針對 CVE-2025-59287 發動掃瞄和意圖濫用,且至少有一家客戶遭駭客利用有別於 Hawktrack 的 PoC 程式駭入。
此外,雖然 WSUS 未曝險線上,但 Eye Security 發現了大約 2,500 個執行個體,其中 250 位於德國,100 個位於荷蘭。
美國資安業者 Huntress 也發現 CVE-2025-59287 遭人濫用的證據,駭客從上周起,從曝露於公開網際網路的預設傳輸埠 (8530/TCP 、 8531/TCP),存取 WSUS 執行個體。但由於 WSUS 鮮少經由 port 8530 和 8531 曝露,因此該公司認為,濫用情形應該不會太多。目前該公司觀察到有少於 25 座主機曝險。
在 Huntress 發現到的攻擊中,駭客是執行 PowerShell 指令執行內部 Windows 網域的偵察,蒐集的資料送回到一個 webhook 。
蒐集的指令和資料包含:
- Whoamo,登入的使用者名稱
- Net user/domain-列出 Windows 網域裏所有使用者帳號
- Ipconfig/all- 顯示所有網路介面的網路配置
荷蘭網路安全中心 (NCSC-NL) 證實二家公司遭到攻擊,建議管理員應小心已出現 PoC 程式。
微軟將 CVE-2025-59287 列為「Exploitation More Likely」,意味是攻擊者偏好的攻擊目標,但是其安全公告中卻尚未更新,仍然顯示未遭濫用。