Введение

Приветствую! В середине октября вышла новая критическая уязвимость для Windows серверов с ролью WSUS (Windows Server Update Services) — CVE-2025-59287. 

А меня по‑прежнему зовут Ян, я — старший специалист по пентестам в кибербез-компании Xilant. В этом тексте мы разберём не только как работает эта уязвимость, но и посмотрим на существующие эксплоиты. А также расскажем как защититься.

Предупреждение

Данная статья предоставляется в информативных целях для рекомендации по повышению безопасности информационных ресурсов. Запрещается использование данных материалов в целях атаки на системы третьих лиц и может повлечь за собой уголовную ответственность. 

Поэтому автор снимает с себя всякую ответственность за использование данного материала третьими лицами в противоправных целях!

Что произошло

14 октября этого года Microsoft сообщила о критической уязвимости: CVE-2025-59287. Для успешной атаки требуется только сетевой доступ к портам 8530 / 8531, на которых должен слушать сервис WSUS.

Репорт от поисковика уязвимостей shodan.io показывает, что по всему миру в открытом доступе находятся около полумиллиона хостов с открытыми портами WSUS. Колоссальное поле для атаки!

Если вы подумаете, что ваша инфраструктура в безопасности, потому что ваш WSUS server находится во внутренней сети, то это не повод расслабляться — внутренние угрозы ещё никто не отменял, да и не далёк тот час когда появится малварь заточенная под эту уязвимость. И тогда через обычное фишинговое письмо грозит компрометация всей Active Directory.

Что болит

Так почему же так опасна эта уязвимость с коэффициентом критичности 9,8 по CVSS?

Уже выпущено множество статей раскрывающих внутреннее устройство уязвимости на основе C# кода. Поэтому буду краток — ошибка безопасности кроется в передаче сериализованных данных напрямую в метод BinaryFormatter.Deserialize() в коде WSUS:

Unsafe SoapFormatter Deserialization
public static object DeserializeObject(byte[] bytes)
{
    SoapFormatter soapFormatter = new SoapFormatter();
    soapFormatter.Binder = new WSUSDeserializationBinder("Microsoft.UpdateServices.Administration");
 
    if (bytes == null)
        throw new ArgumentNullException("bytes");
 
    MemoryStream memoryStream = new MemoryStream(bytes);
    return soapFormatter.Deserialize(memoryStream);  // ← здесь RCE
}

Данные для десериализации передаются через SOAP cookie авторизации в обычном HTTP запросе. 

Здесь мы имеем дело с типичной небезопасной десериализацией (Insecure Deserialization), которая позволяет удалённо без каких-либо кредов выполнять произвольный код.

Значит можно, к примеру, дампнуть образ lsass памяти или просто изменить админ-креды. Да, и банального шифровальщика тоже могут запустить.

Атака

Теперь к обзору эксплоитов. Забьём в гугл:

CVE-2025-59287 POC github

И видим, что есть китайская версия на Python и буржуйская на Powershell. Обе версии мне нравятся, потому что они рабочие в отличии от оригинала на C#, где не хватает HTTP запросов.

Рассмотри китайский вариант. Все скрипты всегда советую вам перепроверять перед запуском :)

В этом эксплоите есть все шаги для полного цикла атаки:

    1. Получить ID сервера

    2. Запросить SimpleAuth cookie авторизации

    3. Получить ReportingWebService cookie

    4. Отправить сериализованную полезную нагрузку 

Сама полезная нагрузка находится в переменной popcalc. Если её декодировать, то можно догадаться, что в исходном варианте она открывает калькулятор на целевой системе после отработки.

echo AAEAAAD/////AQAAAAAAAAAM...ovL2JpdC5seS8zanNQcVF6In0K | base64 -d
 
<...>
        <sd:ProcessStartInfo Arguments="/c calc"  
<...>

Если захотите сгенерить что-то поинтереснее, то придётся изучить утилиту ysoserial.net и создать свою «полезную» нагрузку. 

Но есть одно НО: для активации полезной нагрузки на целевом сервере необходимо, чтобы админ зашёл в WSUS консоль ,ИЛИ чтобы сервис WSUS был перезагружен, например через Services App. Думаю, что одно из этих событий крайне вероятно, ведь после активации эксплоита сервис WSUS подвисает и выдаёт ошибку.

Рассмотрим действие этой уязвимости на примере всё того же калькулятора.

Так выглядит древо процессов после отработки эксплоита:

Он будет отрабатывать даже после перезапуска WSUS что даёт нам не только удалённое выполнение кода, но и персистентность!

Для тех, кого я запутал, предлагаю посмотреть коротенькое видео с демонстрацией от одного итальянского исследователя:

И, напоследок, было замечено, что создатели знаменитого Metasploit поставили себе также задачу по доработке эксплоита: https://github.com/rapid7/metasploit-framework/issues/20635

Ждём новые варианты!

Как лечить

Ломать — не строить. Для защиты от данной угрозы советуем вам выполнить следующие действия:

• Идентифицируйте все сервера с активной WSUS ролью. Это можно  сделать, просканировав сеть на наличие портов 8530/8531: masscan -p8530,8531 192.1.1.0/24

• Самый надёжный способ — отключить роль WSUS на всех серверах до тех пор, пока не будет установлено обновление от 23.10.2025. Или временно заблокируйте 8530/8531 через правила файрвола пока не установите обновление. Также убедитесь, что эти порты не доступны в интернете (скан внешнего периметра). 

• Установить последний Hotfix на все сервера WSUS.

• Пригласите пентестера и попросите проверить вашу Active Directory :)

Заключение

Давненько не было таких «полезных» атак, напоминающих чем-то Bluekeep или EternalBlue. Но это лишний раз доказывает, что Windows и Active Directory уже давно под прицелом и необходимо постоянно следить за обновлениями.

Спасибо, что дочитали до конца! Я постарался максимально охватить все доступные источники по этой теме и думаю получилось неплохо.

Желаю вам Удачи и Безопасности!