エンタープライズ企業に対し、今月初めにMicrosoftが完全に修正できなかったWindows Server Update Serviceの脆弱性を修正するため、複数のWindows Serverバージョンに対する臨時パッチの適用が推奨されています。
Microsoftは木曜日、Windows Server Update Service(WSUS)の重大な脆弱性を「包括的に」修正するための臨時パッチをリリースしました。これは、10月14日にリリースされた最初のパッチが不十分だったためです。今週、詳細な脆弱性分析と概念実証のエクスプロイトが公開された後、攻撃者はこの脆弱性を実際に悪用しました。
CVE-2025-59287として追跡されているこの脆弱性は、WSUS環境におけるAuthorizationCookieオブジェクトの安全でないデシリアライズに起因します。攻撃が成功すると、SYSTEM権限でリモートコード実行が可能になります。
WSUSは、企業環境でMicrosoftの更新プログラムをWindowsシステムに制御された形で配信するためによく使用されます。このサービスはWindowsサーバーでデフォルトでは有効になっていませんが、WSUSサーバーロールを有効にすることで利用可能になります。
Microsoftは10月14日のOctober Patch TuesdayリリースでCVE-2025-59287向けのパッチを含めていました。しかし、最初の修正は完全ではなかったようで、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2022(23H2エディション、Server Coreインストール)、およびWindows Server 2025向けに新たなアップデートが必要となりました。
同社の更新されたアドバイザリによると、組織はこれらのアップデートをできるだけ早く適用するべきです。回避策としては、WSUSサーバーロールを無効にするか、ポート8530および8531への受信トラフィックをブロックする方法がありますが、いずれもパッチが適用されるまでサービスが利用できなくなります。
実際に観測された攻撃
Microsoftのアドバイザリには実際の悪用については記載されていませんが、サイバーセキュリティ企業Huntressおよびオランダ政府の国家サイバーセキュリティセンターの研究者が、それぞれ攻撃の証拠を報告しました。これは、サイバーセキュリティ企業HawkTraceの研究者が水曜日にこの脆弱性の詳細な分析と概念実証エクスプロイトを公開した後のことです。
「2025年10月23日23:34 UTC頃から、Huntressはデフォルトポート(8530/TCPおよび8531/TCP)で公開されているWSUSインスタンスを標的とする脅威アクターを観測しました」と同社は金曜日のブログ記事で述べています。「攻撃者は公開されたWSUSエンドポイントを利用し、特別に細工されたリクエスト(WSUSウェブサービスへの複数のPOSTコール)を送信して、アップデートサービスに対してデシリアライズRCEを引き起こしました。」
このエクスプロイト活動により、WSUSワーカープロセスがコマンドプロンプトやPowerShellインスタンスを起動しました。Base64でエンコードされたペイロードがダウンロードされ、PowerShellで実行され、ネットワーク上のサーバーを発見し、ユーザー情報を収集してリモートの攻撃者が管理するURLに送信することが目的でした。
Huntressのレポートには、詳細な侵害指標、フォレンジックアーティファクト、およびオープンなSigma SIEM検出フォーマットによる検出ルールが含まれています。
