Уязвимость WSUS уже эксплуатируют хакеры — воруют данные из университетов и медицинских организаций

Свежая уязвимость в Windows Server Update Services (WSUS) стала объектом активных атак буквально через несколько дней после публикации патча. Злоумышленники используют дыру, чтобы вытаскивать из скомпрометированных организаций конфиденциальные данные — от списков пользователей Active Directory до сетевых конфигураций.

Что за уязвимость

Речь о CVE-2025-59287 — критической ошибке десериализации в WSUS, которая позволяет выполнять произвольный код на сервере без аутентификации. Microsoft выпустила патч 14 октября 2025 года, но это не остановило атакующих: как только на GitHub появился публичный proof-of-concept, эксплуатация не заставила себя ждать.

По данным телеметрии Sophos, реальные атаки начались 24 октября 2025 года — буквально через несколько часов после того, как в сети опубликовали технический разбор уязвимости и рабочий эксплойт. Sophos X-Ops подтвердила шесть инцидентов, однако исследователи считают, что реальное число скомпрометированных организаций значительно выше.

Под удар попали интернет-доступные серверы WSUS в университетах, технологических компаниях, производственных предприятиях и медицинских организациях — преимущественно в США. Судя по бессистемному характеру атак, злоумышленники не выбирали конкретные цели, а массово сканировали сеть в поисках открытых серверов WSUS и эксплуатировали их по мере обнаружения.

Как проходит атака

Уязвимость эксплуатируется через инъекцию закодированных в Base64 команд PowerShell, которые запускаются через вложенные процессы под привилегиями воркера IIS. Вредоносный скрипт работает незаметно и собирает информацию о заражённой системе: внешние IP-адреса и порты уязвимых хостов, перечень пользователей домена Active Directory и детальную конфигурацию сетевых интерфейсов.

Собранные данные отправляются на URL-адреса сервиса webhook.site, контролируемые атакующими. Исследователи Sophos обнаружили четыре уникальных адреса webhook.site, связанных с этими атаками, три из которых относились к бесплатному тарифу платформы. Анализ логов запросов на двух публично доступных URL показал: эксплуатация стартовала в 02:53 UTC 24 октября и уже к 11:32 UTC того же дня достигла лимита в 100 запросов — максимума, установленного webhook.site.

Директор по анализу угроз Sophos Рейф Пиллинг (Rafe Pilling) прокомментировал ситуацию так: «Эта активность показывает, что злоумышленники быстро воспользовались критической уязвимостью в WSUS, чтобы собрать ценные данные с уязвимых организаций».

Похищенная информация может использоваться для разведки перед последующими атаками или продаваться на теневых форумах другим киберпреступникам.

Что делать

Организациям, использующим WSUS, стоит незамедлительно установить патч Microsoft и провести проверку сетевых конфигураций. Отдельно рекомендуется выявить серверы WSUS, доступные из интернета, и ограничить доступ к портам 8530 и 8531 только теми системами, которым это действительно необходимо. Службам безопасности также стоит проверить журналы на признаки эксплуатации и внедрить сегментацию сети, чтобы затруднить злоумышленникам горизонтальное перемещение в случае компрометации.

Источник: Cybersecurity News.