マイクロソフトが緊急パッチを公開し、米国サイバーセキュリティ・インフラセキュリティ庁が既知の悪用脆弱性カタログにこのバグを追加したわずか数日後、複数の脅威インテリジェンスチームが、CVE-2025-59287として追跡されているWindows Server Update Services(WSUS)の重大なリモートコード実行の脆弱性について警鐘を鳴らしている。この脆弱性は現在、実際に悪用されている。
マイクロソフトは、この脆弱性に関するアドバイスを更新しておらず、複数の信頼できる情報源によって検出された実際の悪用についても記載していない。レドモンドはCVE-2025-59287を「公開も悪用もされていない」としている。しかし、同社はこのバグを「悪用される可能性が高い」と評価しており、これは今月最大の控えめな表現かもしれない。
「私たちは現在、UNC6512として追跡している新たに特定された脅威アクターによるCVE-2025-59287の悪用を、複数の被害組織にわたって積極的に調査しています」とGoogle Threat Intelligence Group(GTIG)はThe Registerの質問に対するメールで述べた。
「初期アクセスの後、攻撃者が侵害されたホストおよび関連する環境で偵察を行うために一連のコマンドを実行していることが観測されています」とGTIGは続けた。「影響を受けたホストからの情報流出も確認しています。」
マイクロソフトはThe Registerの攻撃報告に関する質問には回答を拒否したが、初回投稿が不正確でない限り、セキュリティアドバイザリをリリース後に更新することは通常ないと指摘した。
CVE-2025-59287は、Windows Server 2012から2025までのバージョンに影響し、信頼できないデータの安全でないデシリアライズに起因する。これにより、認証されていない攻撃者が脆弱なシステム上で任意のコードを実行できる。Windows Server Update Services(WSUS)ロールが有効になっていないサーバーは影響を受けない。
過去7日間でこのバグの悪用が約10万件確認されています
マイクロソフトは当初、10月のパッチチューズデーにCVE-2025-59287の修正を発行したが、セキュリティホールを完全には塞げなかった。先週木曜遅く、レドモンドは緊急アップデートを公開した。
緊急修正の数時間後には、インシデント対応者や脅威研究者が実際の悪用を確認し始めた。
「私たちのテレメトリによると、過去7日間でこのバグの悪用が約10万件確認されています」とTrend MicroのZero Day Initiative脅威認識責任者であるDustin Childs氏はThe Registerに語った。
「私たちのスキャンでは、インターネットに公開されているWSUSサービス有効サーバーが50万台弱存在します」とChilds氏は続けた。「このバグの性質上、影響を受けるほぼすべてのサーバーがいずれ攻撃されると予想されます。ただし、現時点で観測されている悪用は無差別であり、特定の業種や地域を標的にしているわけではありません。また、パッチや他の対策が実施されない限り、侵害の割合は今後増加すると予想されます。」
下流被害者への「壊滅的」な影響の可能性
また月曜日時点で、Palo Alto NetworksのUnit 42チームは「影響を受けた顧客は限定的に観測されている」と、Unit 42脅威インテリジェンスリサーチ上級マネージャーのJustin Moore氏はThe Registerに語った。
「WSUSはデフォルトではインターネット経由でアクセスできないはずですが、公開されている場合、下流の組織にとって壊滅的な影響を及ぼす可能性があります」と彼は付け加えた。
Unit 42のこれまでの分析によれば、マイクロソフトの脆弱性を悪用している未知の攻撃者は、初期アクセスの獲得と内部ネットワークの偵察に注力している。
攻撃者は、デフォルトのTCPポート8530(HTTP)および8531(HTTPS)で公開されているWSUSインスタンスを標的にしている。
侵入後は、PowerShellコマンドを実行し、whoami、net user /domain、ipconfig /allなどの内部ネットワーク環境に関するデータを収集する。その後、盗まれた情報をPowerShellペイロードでリモートの攻撃者管理Webhook.siteエンドポイントへ送信しようとし、必要に応じてcurl.exeにフォールバックする、とUnit 42は述べている。
「これは認証不要かつ攻撃の複雑性が低い脆弱性であるため、表面的には公開WSUSサーバーの数が比較的限られていることから悪用範囲は小さく見えるかもしれません」とMoore氏は述べた。「しかし、実際の下流への影響は大きく、評価が難しい可能性があります。」
Moore氏によれば、現時点では特定の攻撃者や脅威グループがこの脆弱性攻撃の責任を持っているという証拠はないという。しかし「攻撃が容易で、実証コードが存在する脆弱性がある場合、あらゆる機会主義的な脅威アクターがそれを利用するだろう」と指摘した。
少なくとも1つの実証コードが10月21日以前から存在している。
「現時点ではシステム情報の流出のみが観測されていますが、最終的な目的は、侵害されたサーバーを利用してアップデートサービス経由で悪意あるソフトウェアを企業に配布し、最大限の効果を狙うことだと考えられます」とMoore氏は述べた。
パッチチューズデーに、Childs氏はこのバグがすぐに悪用される可能性が非常に高いと警告していた。その見解は的中し、月曜日にChilds氏は「最初のパッチが回避された事実は、いくつかの理由で不安を感じさせる」と語った。
「私はこのCVEをブログで取り上げました。なぜなら、エクスプロイトがどれほどの影響を及ぼすかを見て取れたからです」と彼は述べた。「これは脅威アクターがパッチをリバースエンジニアリングする際に探し求めるものです。通常、バグを見つけるのは難しいですが、パッチチューズデーではマイクロソフトがどのバグが存在するかを教えてくれます。パッチが脆弱性を完全に修正していない場合、パッチの存在自体が企業のリスクを高めます。人々は保護されていると思い込んでしまいますが、実際にはそうではありません。」
マイクロソフトは、脆弱性を完全に修正しないパッチの問題を抱えていると彼は付け加えた。SharePointを覚えていますか?
「私たちは、機能を壊すパッチだけでなく、ドキュメント化されたセキュリティ問題を修正しないパッチについても、マイクロソフトに責任を取らせる必要があります」とChilds氏は述べた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/27/microsoft_wsus_attacks_multiple_orgs/
