攻撃者はWindows Server Update Servicesの重大な脆弱性を積極的に悪用しており、今月初めにMicrosoftが発行したパッチを回避しています。このパッチは2012年まで遡るソフトウェアバージョンに影響する問題を緩和できていませんでした。
Microsoftは木曜日にCVE-2025-59287に対する緊急の臨時セキュリティアップデートをリリースしました。複数の調査会社が金曜日までに実際の悪用を検出しましたが、この記事の公開時点でMicrosoftは悪用が発生したことをまだ確認していません。
以前に公開され、対処された脆弱性によって再び高まったリスクは、防御側と攻撃側が短期間でどれほど迅速にリソースを集めるかを浮き彫りにしています。研究者たちは、Microsoftの緊急パッチ公開から数時間以内に概念実証のエクスプロイトや実際の悪用を観測しました。
この脆弱性は、攻撃スクリプトが公開されると、どれほど簡単かつ些細に悪用できるかを示していますと、Huntressの主任セキュリティ研究員ジョン・ハモンド氏はCyberScoopに語りました。「これは常に機会を狙った攻撃で、無差別にばらまいて、犯罪者が手に入れられるアクセスを探すだけです。」
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は金曜日、このリモートコード実行の欠陥を既知の悪用された脆弱性カタログに追加し、組織にパッチ適用を促す警告とMicrosoftの緩和策ガイダンスの遵守を発表しました。
「初回のアップデートが問題を完全に緩和できていないことを特定したため、このCVEを再リリースしました。最新のアップデートをインストールしたお客様はすでに保護されています」とMicrosoftの広報担当者は声明で述べました。ベンダーは、いつ、どのようにして以前のパッチが回避可能であると判断したかについては明らかにしませんでした。
すでに影響を受けた、または攻撃にさらされている可能性のある組織の数は調査中ですが、Shadowserverによると、インターネットにポート8530および8531を公開しているWindows Server Update Servicesのインスタンスが2,800件以上見つかったとのことです。これは悪用のための要件です。金曜日時点で、そのうち約28%が米国内に存在していました。
「この脆弱性の悪用は無差別です。未パッチのWindows Server Update Servicesインスタンスがオンラインであれば、この段階ではすでに侵害されている可能性が高いです」とwatchTowrの創設者兼CEOのベン・ハリス氏はメールで述べました。「これはリスクの低い環境に限定されるものではなく、影響を受けている組織の中には攻撃者が優先的に狙うタイプのターゲットも含まれています。」
HuntressはCVE-2025-59287に関連する5件のアクティブな攻撃を観測しています。ハモンド氏によると、Huntressが観測したのは悪用の初期段階のみで、ネットワーク管理者のコマンドによる環境の把握、環境の列挙、そしてその情報を外部に持ち出す行為が含まれていました。「それ以外の悪質な影響はまだ確認されていません」と彼は述べました。
Windows Server Update ServicesはWindowsサーバー環境で最も高い権限の一つで動作しているため、CVE-2025-59287を悪用した攻撃者は「完全に侵害されたそのマシンを所有したことになる」とハモンド氏は述べました。
侵害のリスクは「この機会を利用したサプライチェーン攻撃の可能性」にまで及ぶ可能性があると彼は付け加えました。攻撃者は、ダウンストリームの他の接続されたホストや新しい構成や変更を待っているコンピューターにアップデートを配信することができると、ハモンド氏は述べています。
Palo Alto NetworksのUnit 42インシデント対応チームもその評価に同意しています。「この単一のサーバーを侵害することで、攻撃者はパッチ配信システム全体を乗っ取ることができます」とUnit 42の脅威インテリジェンス研究上級マネージャー、ジャスティン・ムーア氏はメールで述べました。
「認証なしで、システムレベルの制御を得て、壊滅的な内部サプライチェーン攻撃を実行できます」とムーア氏は付け加えました。「組織内のすべてのワークステーションやサーバーに、正規のMicrosoftアップデートを装ったマルウェアを配信することができます。これにより、信頼されたサービスが大量配布のための兵器に変わります。」
Microsoftおよび脆弱性を追跡している研究者は一貫して、Windows Server Update Servicesをインターネットに公開してはならないと指摘しています。パブリックインターネットからの着信トラフィックをブロックしているWindows Server Update Servicesインスタンスでは、認証されていない脆弱性を攻撃者が悪用することはできません。
Microsoftは9月にWindows Server Update Servicesを非推奨とし、ソフトウェアアップデート配信ツールのサポートは継続するものの、今後新機能の開発や積極的な開発は行わないと述べました。
翻訳元: https://cyberscoop.com/microsoft-windows-server-update-services-vulnerability-exploited-attacks/
