CVE-2025-59287
Microsoft Windows
2025-10-24
Microsoft Windows Server Update Service (WSUS) contains a deserialization of untrusted data vulnerability that allows for remote code execution.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2025-59287 затрагивает службу Windows Server Update Services (WSUS) и связана с небезопасной десериализацией недоверенных данных.
Злоумышленник, имеющий сетевой доступ к серверу WSUS, может отправить специально сформированный запрос, содержащий вредоносный сериализованный объект.
При обработке этого запроса сервером происходит выполнение произвольного кода (RCE) с правами службы WSUS (как правило, NT AUTHORITY\NETWORK SERVICE или SYSTEM).
Это критическая угроза, так как полная компрометация сервера WSUS позволяет злоумышленнику не только захватить сам сервер, но и потенциально распространять вредоносные обновления на все подключенные к нему клиентские машины и серверы в инфраструктуре.
Как исправить
Единственным гарантированным способом устранения уязвимости является установка официального обновления безопасности от Microsoft (Security Update).
Необходимо установить актуальное накопительное обновление (Cumulative Update) для вашей версии Windows Server.
Для автоматизации процесса установки через консоль можно использовать модуль PSWindowsUpdate.
Установка модуля для управления обновлениями (если он еще не установлен):
Install-Module -Name PSWindowsUpdate -Force -SkipPublisherCheck
Поиск и установка всех доступных обновлений безопасности с автоматической перезагрузкой сервера:
Install-WindowsUpdate -AcceptAll -AutoReboot
Проверка статуса службы WSUS после установки патча и перезагрузки:
Get-Service -Name WsusService
Временные меры
Если немедленная установка обновления невозможна в связи с регламентом компании, необходимо срочно применить компенсирующие меры для минимизации поверхности атаки.
Ограничение сетевого доступа к портам WSUS (по умолчанию 8530 HTTP и 8531 HTTPS) только для доверенных подсетей (замените IP-адреса на ваши корпоративные подсети):
New-NetFirewallRule -DisplayName "Allow Trusted WSUS Access" -Direction Inbound -LocalPort 8530,8531 -Protocol TCP -Action Allow -RemoteAddress "10.0.0.0/8","192.168.1.0/24"
Блокировка всех остальных входящих подключений к портам WSUS от неавторизованных источников:
New-NetFirewallRule -DisplayName "Block Untrusted WSUS Access" -Direction Inbound -LocalPort 8530,8531 -Protocol TCP -Action Block
Внедрение строгой фильтрации трафика на уровне WAF/IPS для инспекции входящих POST-запросов к эндпоинтам WSUS (например, /ClientWebService/client.asmx) на наличие известных паттернов вредоносной десериализации .NET.
Отключение использования HTTP (порт 8530) в диспетчере IIS и принудительный перевод всех клиентов на HTTPS (порт 8531) с проверкой сертификатов.
Настройка усиленного мониторинга журналов IIS (C:\inetpub\logs\LogFiles) и событий безопасности Windows (Event ID 4688) для отслеживания запуска подозрительных дочерних процессов от пула приложений WSUS (w3wp.exe).