攻撃者は現在、重大度の高いWindows Server Update Services（WSUS）の脆弱性を悪用しており、この脆弱性にはすでに公開された概念実証（PoC）エクスプロイトコードがあります。

木曜日、Microsoftは影響を受けるすべてのWindows Serverバージョンに対して「CVE-2025-59287を包括的に対処する」ための緊急のセキュリティアップデートをリリースし、IT管理者にできるだけ早くインストールするよう推奨しました：

• Windows Server 2025（KB5070881）
• Windows Server, バージョン 23H2（KB5070879）
• Windows Server 2022（KB5070884）
• Windows Server 2019（KB5070883）
• Windows Server 2016（KB5070882）
• Windows Server 2012 R2（KB5070886）
• Windows Server 2012（KB5070887）

Microsoftはまた、緊急パッチをすぐに適用できない管理者向けに、攻撃経路を排除するために脆弱なシステム上でWSUSサーバーロールを無効化するなどの回避策も共有しています。

週末に、サイバーセキュリティ企業HawkTrace SecurityがCVE-2025-59287の概念実証エクスプロイトコードを公開しましたが、これは任意のコマンド実行はできません。

実際に悪用されている

オランダのサイバーセキュリティ企業Eye Securityは本日早く、スキャンおよび悪用の試みをすでに観測しており、少なくとも顧客のシステムの1つが週末にHawktraceが公開したものとは異なるエクスプロイトを使って侵害されたと報告しました。

また、WSUSサーバーは通常インターネット上に公開されていませんが、Eye Securityによると、世界中で約2,500件、うちドイツで250件、オランダで約100件が発見されたとしています。

米国のサイバーセキュリティ企業Huntressも、10月23日（木）からデフォルトポート（8530/TCPおよび8531/TCP）がインターネット上に公開されているWSUSインスタンスを標的としたCVE-2025-59287攻撃の証拠を発見しました。

「CVE-2025-59287の悪用は限定的になると予想しています。WSUSがポート8530および8531を公開することはあまりありません。当社パートナー基盤全体で、約25台のホストが影響を受けやすいことを確認しました」とHuntressは述べています。

Huntressが観測した攻撃では、脅威アクターがPowerShellコマンドを実行し、内部Windowsドメインの偵察を行い、その情報をWebhookに送信していました。

このデータには以下のコマンドの出力が含まれていました：

• whoami – 現在ログインしているユーザー名。
• net user /domain – Windowsドメイン内のすべてのユーザーアカウントを一覧表示。
• ipconfig /all – すべてのネットワークインターフェースのネットワーク構成を表示。

オランダ国家サイバーセキュリティセンター（NCSC-NL）は本日、両社の発見を確認し、PoCエクスプロイトがすでに利用可能であることからリスクが高まっているとして管理者に注意を呼びかけました。

「NCSCは信頼できるパートナーから、CVE-2025-59287という識別子の脆弱性の悪用が2025年10月24日に観測されたことを確認しました」とNCSC-NLは金曜日のアドバイザリで警告しています。

「WSUSサービスがインターネット経由で公開されるのは一般的ではありません。この脆弱性の概念実証コードが公開されたことで、悪用のリスクが高まっています。」

MicrosoftはCVE-2025-59287を「悪用される可能性が高い」と分類しており、攻撃者にとって魅力的な標的であることを示していますが、現時点ではアドバイザリを更新して実際の悪用を確認していません。

2025年10月24日 13:51 EDT更新： Huntress Labsによる実際の悪用に関する詳細を追加しました。