سواستفاده از حفره امنیتی حیاتی WSUS در ویندوز سرور

مهاجمان اکنون در حال سوءاستفاده از یک آسیب‌پذیری بحرانی امنیتی WSUS هستند که کد اکسپلویت آن در دسترس عموم قرار دارد.

این آسیب‌پذیری اجرای کد از راه دور (RCE) که با شناسه CVE-2025-59287 ردیابی می‌شود، فقط سرورهای ویندوزی را تحت تأثیر قرار می‌دهد که نقش سرور WSUS به عنوان منبع به‌روزرسانی برای سایر سرورهای WSUS در سازمان فعال باشد (ویژگی‌ای که به طور پیش‌فرض فعال نیست).

عاملان تهدید می‌توانند از این آسیب‌پذیری از راه دور در حملات با پیچیدگی کم که نیازی به امتیازات یا تعامل کاربر ندارند، سوءاستفاده کنند و به آنها اجازه دهند کد مخرب را با امتیازات SYSTEM اجرا کنند. در این شرایط، این نقص امنیتی می‌تواند به طور بالقوه بین سرورهای WSUS قابل نفوذ باشد.

مایکروسافت به‌روزرسانی‌های امنیتی خارج از برنامه را برای همه نسخه‌های ویندوز سرور آسیب‌دیده منتشر کرد تا «به‌طور جامع به آسیب‌پذیری CVE-2025-59287 رسیدگی کند» و به مدیران فناوری اطلاعات توصیه کرده است که در اسرع وقت آنها را نصب کنند:

• Windows Server 2025 (KB5070881)
• Windows Server, version 23H2 (KB5070879)
• Windows Server 2022 (KB5070884)
• Windows Server 2019 (KB5070883)
• Windows Server 2016 (KB5070882)
• Windows Server 2012 R2 (KB5070886)
• Windows Server 2012 (KB5070887)

مایکروسافت همچنین راهکارهایی مانند غیرفعال کردن نقش سرور WSUS در سیستم‌های آسیب‌پذیر برای حذف بردار حمل را برای مدیرانی که نمی‌توانند بلافاصله وصله‌های اضطراری را نصب کنند، منتشر کرده است.

سوءاستفاده گسترده

شرکت امنیت سایبری Eye Security گزارش داده است که شاهد تلاش‌هایی برای اسکن و سوءاستفاده بوده است و حداقل یکی از سیستم‌های مشتریانش با استفاده از یک سوءاستفاده متفاوت از آنچه Hawktrace به اشتراک گذاشت، مورد نفوذ قرار گرفته است.

شرکت امنیت سایبری آمریکایی Huntress نیز شواهدی از حملات CVE-2025-59287 را که نمونه‌های WSUS را با پورت‌های پیش‌فرض آنها (۸۵۳۰/TCP و ۸۵۳۱/TCP) که از پنجشنبه ۲۳ اکتبر به صورت آنلاین در معرض خطر قرار گرفته‌اند، هدف قرار می‌دهد، پیدا کرده است.

در حملاتی که توسط Huntress مشاهده شد، عاملان تهدید یک دستور PowerShell را اجرا کردند که شناسایی دامنه داخلی ویندوز را انجام می‌داد و سپس این اطلاعات به یک وب‌هوک ارسال می‌شد.

این داده‌ها شامل خروجی دستورات زیر بود:

whoami – نام کاربری که در حال حاضر وارد سیستم شده است.

net user /domain – تمام حساب‌های کاربری در دامنه ویندوز را فهرست می‌کند.

ipconfig /all – پیکربندی شبکه را برای همه رابط‌های شبکه نمایش می‌دهد.

به گفته مراکز امنیتی مختلف”دسترسی عمومی به یک سرویس WSUS از طریق اینترنت معمول نیست اما کد اکسپلویتی که برای این آسیب‌پذیری اکنون در دسترس است، خطر بهره‌برداری را افزایش می‌دهد.

مایکروسافت CVE-2025-59287 را به عنوان “احتمال بهره‌برداری بالا” طبقه‌بندی کرده است، که نشان می‌دهد هدف جذابی برای مهاجمان است. با این حال، هنوز توصیه‌نامه خود را برای تأیید بهره‌برداری فعال به‌روزرسانی نکرده است.

منبع:

bleepingcomputer