Эксплойт в открытом доступе запустил волну атак на WSUS. Windows-серверы крушат одним кликом

Хакеры начали активно эксплуатировать уязвимость в службе обновлений Windows Server Update Services (WSUS). Ошибка зарегистрирована как CVE-2025-59287 и уже имеет публично доступный PoC-код, что значительно повышает риск массовых атак. Уязвимость затрагивает только серверы Windows, где включена роль WSUS Server и система настроена на распространение обновлений другим WSUS-инстансам в сети — этот режим по умолчанию обычно отключён. В таких конфигурациях злоумышленник может удалённо выполнить произвольный код без прав и без участия пользователя, получив при этом доступ уровня SYSTEM. При отсутствии сетевой изоляции атака способна переходить от одного сервера WSUS к другому.

Microsoft выпустила внеплановые обновления, устраняющие уязвимость, и рекомендует установить их как можно скорее. Исправления доступны для всех поддерживаемых версий Windows Server: KB5070881 для Windows Server 2025, KB5070879 для версии 23H2, KB5070884 для 2022, KB5070883 для 2019, KB5070882 для 2016, а также KB5070886 и KB5070887 для 2012 R2 и 2012. Для организаций, которые не могут установить патчи немедленно, компания предложила временные меры защиты — например, отключить роль WSUS Server или ограничить сетевой доступ к уязвимым портам.

В конце прошлой недели исследователи из HawkTrace Security опубликовали демонстрационный PoC-код для CVE-2025-59287. Хотя пример не во всех случаях обеспечивает произвольное выполнение команд, само его появление вызвало всплеск активности. Уже утром 24 октября представители голландской компании Eye Security сообщили о первых сканированиях и попытках эксплуатации, а один из клиентов организации подвергся атаке с использованием другого варианта эксплойта. Американская компания Huntress также зафиксировала атаки против серверов WSUS, доступных из интернета по стандартным портам 8530/TCP и 8531/TCP.

По данным Eye Security, в открытой сети найдено около 2 500 экземпляров WSUS-серверов по всему миру, из них примерно 250 расположены в Германии и около 100 — в Нидерландах. Huntress оценивает число уязвимых хостов среди своих партнёров примерно в 25, однако предупреждает, что наличие рабочего эксплойта и активное сканирование повышают вероятность новых компрометаций. В наблюдаемых атаках злоумышленники запускали PowerShell-команды, собирая сведения о домене (`whoami`, `net user /domain`, `ipconfig /all`) и передавая их на внешний webhook — шаг, характерный для разведки перед углублением доступа.

Национальный центр кибербезопасности Нидерландов (NCSC-NL) подтвердил факты эксплуатации и предупредил, что наличие публичного кода повышает риск успешных атак. В своём уведомлении центр уточнил, что WSUS-сервера редко должны быть доступны напрямую из интернета, а открытые порты 8530 и 8531 существенно увеличивают вероятность компрометации.

Microsoft классифицировала CVE-2025-59287 как «Exploitation More Likely», что означает высокую вероятность её использования злоумышленниками. Администраторам советуют установить патчи, закрыть внешние порты WSUS и проверить системные журналы на подозрительные PowerShell-запросы и несанкционированные подключения.