Свежая уязвимость в Windows Server Update Services (WSUS) стала объектом активных атак буквально через несколько дней после публикации патча. Злоумышленники используют дыру, чтобы вытаскивать из скомпрометированных организаций конфиденциальные данные — от списков пользователей Active Directory до сетевых конфигураций.
Что за уязвимость
Речь о CVE-2025-59287 — критической ошибке десериализации в WSUS, которая позволяет выполнять произвольный код на сервере без аутентификации. Microsoft выпустила патч 14 октября 2025 года, но это не остановило атакующих: как только на GitHub появился публичный proof-of-concept, эксплуатация не заставила себя ждать.
По данным телеметрии Sophos, реальные атаки начались 24 октября 2025 года — буквально через несколько часов после того, как в сети опубликовали технический разбор уязвимости и рабочий эксплойт. Sophos X-Ops подтвердила шесть инцидентов, однако исследователи считают, что реальное число скомпрометированных организаций значительно выше.
Под удар попали интернет-доступные серверы WSUS в университетах, технологических компаниях, производственных предприятиях и медицинских организациях — преимущественно в США. Судя по бессистемному характеру атак, злоумышленники не выбирали конкретные цели, а массово сканировали сеть в поисках открытых серверов WSUS и эксплуатировали их по мере обнаружения.
Как проходит атака
Уязвимость эксплуатируется через инъекцию закодированных в Base64 команд PowerShell, которые запускаются через вложенные процессы под привилегиями воркера IIS. Вредоносный скрипт работает незаметно и собирает информацию о заражённой системе: внешние IP-адреса и порты уязвимых хостов, перечень пользователей домена Active Directory и детальную конфигурацию сетевых интерфейсов.
Собранные данные отправляются на URL-адреса сервиса webhook.site, контролируемые атакующими. Исследователи Sophos обнаружили четыре уникальных адреса webhook.site, связанных с этими атаками, три из которых относились к бесплатному тарифу платформы. Анализ логов запросов на двух публично доступных URL показал: эксплуатация стартовала в 02:53 UTC 24 октября и уже к 11:32 UTC того же дня достигла лимита в 100 запросов — максимума, установленного webhook.site.
Директор по анализу угроз Sophos Рейф Пиллинг (Rafe Pilling) прокомментировал ситуацию так: «Эта активность показывает, что злоумышленники быстро воспользовались критической уязвимостью в WSUS, чтобы собрать ценные данные с уязвимых организаций».
Похищенная информация может использоваться для разведки перед последующими атаками или продаваться на теневых форумах другим киберпреступникам.
Что делать
Организациям, использующим WSUS, стоит незамедлительно установить патч Microsoft и провести проверку сетевых конфигураций. Отдельно рекомендуется выявить серверы WSUS, доступные из интернета, и ограничить доступ к портам 8530 и 8531 только теми системами, которым это действительно необходимо. Службам безопасности также стоит проверить журналы на признаки эксплуатации и внедрить сегментацию сети, чтобы затруднить злоумышленникам горизонтальное перемещение в случае компрометации.
Источник: Cybersecurity News.