«Уязвимость не эксплуатируется». Microsoft отрицает атаки на Windows Server, пока хакеры совершают 100 000 попыток взлома за неделю

leer en español

Microsoft WSUS CVE-2025-59287 UNC6512 zero-day
«Уязвимость не эксплуатируется». Microsoft отрицает атаки на Windows Server, пока хакеры совершают 100 000 попыток взлома за неделю
Microsoft WSUS CVE-2025-59287 UNC6512 zero-day

Уязвимость позволяет хакерам получить доступ к корпоративной сети через обновления.

image

Аналитики киберугроз фиксируют активную эксплуатацию критической уязвимости в Windows Server Update Services (WSUS), получившей идентификатор CVE-2025-59287. Всего через несколько дней после выхода экстренного обновления Microsoft и добавления проблемы в каталог CISA KEV, исследователи уже отмечают масштабные атаки с её использованием.

Несмотря на сообщения о фактических взломах, Microsoft до сих пор не изменила статус уведомления о CVE-2025-59287, где уязвимость по-прежнему указана как не эксплуатируемая. Компания лишь оценивает вероятность атак как «более вероятную», хотя данные из разных источников указывают, что атаки уже идут в полную силу.

Команда Google Threat Intelligence Group (GTIG) подтвердила, что зафиксировала кампанию с использованием этой ошибки, проводимую новым актором, отслеживаемым как UNC6512. После получения доступа злоумышленники выполняют команды для разведки системы и инфраструктуры, а затем выводят данные с заражённых серверов.

Уязвимость затрагивает Windows Server 2012–2025 и вызвана небезопасной десериализацией непроверенных данных, позволяющей выполнять произвольный код без аутентификации. Серверы, где роль WSUS не активирована, остаются вне зоны риска.

Первая версия исправления была выпущена 8 октября в рамках стандартного цикла обновлений, но оказалась неполной. Уже через неделю Microsoft опубликовала внеплановый апдейт, однако вскоре после этого началась волна атак. По данным Trend Micro, за последние 7 дней зафиксировано около 100 000 попыток эксплуатации. В Zero Day Initiative сообщили, что в сети остаются почти 500 000 серверов с включённым WSUS, и уязвимые экземпляры атакуются без разбора, независимо от отрасли и региона.

По наблюдениям аналитиков Unit 42, атаки направлены на публично доступные WSUS-серверы, использующие стандартные порты 8530 (HTTP) и 8531 (HTTPS). После успешного вторжения злоумышленники применяют PowerShell для сбора сведений о сети — включая команды whoami, net user /domain и ipconfig /all, — и передают собранные данные на сторонний сервер через Invoke-WebRequest или curl.exe.

Unit 42 отмечает, что атаки пока ограничиваются разведкой, но их последствия могут оказаться катастрофическими: скомпрометированный WSUS способен распространять вредоносное ПО в рамках обновлений для всей корпоративной инфраструктуры. При этом сложность эксплуатации минимальна, а PoC-эксплоит доступен с 21 октября, что делает уязвимость крайне привлекательной для массовых атак.

Часть исследователей указывает, что проблемы Microsoft с неполными исправлениями наблюдаются не впервые. ZDI напомнили, что аналогичные ситуации возникали с SharePoint, и призвал компанию уделять больше внимания качеству устранения уязвимостей, поскольку неполный патч создаёт ложное ощущение безопасности у корпоративных клиентов.