Злоумышленники активно используют критическую уязвимость в службах обновления Windows Server, обходя исправление Microsoft, выпущенное ранее в этом месяце, которое не смогло устранить проблему, затрагивающую версии программного обеспечения, датированные 2012 годом.
В четверг Microsoft выпустила экстренное внеплановое обновление безопасности для уязвимости CVE-2025-59287 . К пятнице несколько исследовательских компаний обнаружили факт эксплуатации уязвимости, однако на момент публикации этой статьи Microsoft ещё не подтвердила, что эксплуатация имела место.
Возросший риск, вызванный ранее раскрытой и устраненной уязвимостью, подчеркивает, насколько быстро защитники и злоумышленники накапливают ресурсы в сжатые сроки. Исследователи наблюдали как экспериментальные эксплойты, так и активную эксплуатацию уязвимости в течение нескольких часов после экстренного выпуска исправления Microsoft.
Джон Хаммонд, главный исследователь безопасности в Huntress, рассказал CyberScoop, что эта уязвимость показывает, насколько простой и тривиальной становится эксплуатация скрипта атаки, когда он становится общедоступным. «Это всегда атака, основанная на возможности — просто распыление и мольбы, чтобы злоумышленник мог получить доступ к ней».
В пятницу Агентство по кибербезопасности и безопасности инфраструктуры добавило дефект удаленного выполнения кода в свой каталог известных эксплуатируемых уязвимостей и выпустило предупреждение, призывающее организации установить исправление и следовать рекомендациям Microsoft по смягчению последствий .
«Мы повторно выпустили это исправление CVE, обнаружив, что первоначальное обновление не полностью устранило проблему. Клиенты, установившие последние обновления, уже защищены», — заявил представитель Microsoft. Компания не уточнила, когда и как было установлено, что предыдущее исправление можно обойти.
Число организаций, уже пострадавших или потенциально подверженных атакам, всё ещё расследуется, но Shadowserver заявила, что обнаружила более 2800 экземпляров служб обновления Windows Server Update Services с портами 8530 и 8531, доступных из интернета, что является необходимым условием для эксплуатации уязвимости. По состоянию на пятницу около 28% этих экземпляров находились в США.
«Эксплуатация этой уязвимости носит неизбирательный характер. Если неисправленный экземпляр служб Windows Server Update Services находится в сети, на этом этапе он, вероятно, уже скомпрометирован», — написал в электронном письме Бен Харрис, основатель и генеральный директор watchTowr. «Это касается не только сред с низким уровнем риска — некоторые из затронутых объектов — именно те цели, которые злоумышленники считают приоритетными».
Компания Huntress зафиксировала пять активных атак, связанных с CVE-2025-59287. Хаммонд сообщил, что Huntress наблюдала лишь начальные этапы эксплуатации уязвимости, включая команду сетевого администратора провести обследование местности, проанализировать окружение и передать полученную информацию во внешний носитель. «Больше никаких вредоносных последствий это не принесло», — сказал он.
Службы обновления Windows Server имеют одни из самых высоких привилегий в среде серверов Windows, поэтому злоумышленники, эксплуатирующие CVE-2025-59287, «владели этой машиной, которая была полностью скомпрометирована», — сказал Хаммонд.
Риск компрометации может распространиться на «некоторые потенциальные махинации в цепочке поставок, которые только открывают дверь этой возможности», добавил он. По словам Хаммонда, злоумышленники могут передавать обновления на другие подключённые хосты или компьютеры, ожидающие получения новых конфигураций или изменений с этого центрального сервера.
Команда реагирования на инциденты подразделения 42 компании Palo Alto Networks согласилась с этой оценкой. «Взломав этот единственный сервер, злоумышленник может получить контроль над всей системой распространения обновлений», — написал в электронном письме Джастин Мур, старший менеджер по исследованию угроз в подразделении 42.
«Без аутентификации они могут получить контроль на уровне системы и провести разрушительную атаку на внутреннюю цепочку поставок», — добавил Мур. «Они могут внедрить вредоносное ПО на каждую рабочую станцию и сервер в организации, замаскировав его под легитимное обновление Microsoft. Это превращает доверенный сервис в оружие массового распространения».
Microsoft и исследователи, отслеживающие эту уязвимость, неизменно отмечают, что службы Windows Server Update Services ни в коем случае не должны быть доступны для публичного доступа в Интернете. Злоумышленники не смогут воспользоваться уязвимостью, не требующей аутентификации, в экземплярах служб Windows Server Update Services, которые блокируют входящий трафик из общедоступного Интернета.
В сентябре компания Microsoft прекратила поддержку служб обновления Windows Server, отметив, что она продолжает поддерживать инструмент распространения обновлений программного обеспечения, но больше не занимается его активной разработкой и не планирует добавлять в него новые функции.
В четверг Microsoft выпустила экстренное внеплановое обновление безопасности для уязвимости CVE-2025-59287 . К пятнице несколько исследовательских компаний обнаружили факт эксплуатации уязвимости, однако на момент публикации этой статьи Microsoft ещё не подтвердила, что эксплуатация имела место.
Возросший риск, вызванный ранее раскрытой и устраненной уязвимостью, подчеркивает, насколько быстро защитники и злоумышленники накапливают ресурсы в сжатые сроки. Исследователи наблюдали как экспериментальные эксплойты, так и активную эксплуатацию уязвимости в течение нескольких часов после экстренного выпуска исправления Microsoft.
Джон Хаммонд, главный исследователь безопасности в Huntress, рассказал CyberScoop, что эта уязвимость показывает, насколько простой и тривиальной становится эксплуатация скрипта атаки, когда он становится общедоступным. «Это всегда атака, основанная на возможности — просто распыление и мольбы, чтобы злоумышленник мог получить доступ к ней».
В пятницу Агентство по кибербезопасности и безопасности инфраструктуры добавило дефект удаленного выполнения кода в свой каталог известных эксплуатируемых уязвимостей и выпустило предупреждение, призывающее организации установить исправление и следовать рекомендациям Microsoft по смягчению последствий .
«Мы повторно выпустили это исправление CVE, обнаружив, что первоначальное обновление не полностью устранило проблему. Клиенты, установившие последние обновления, уже защищены», — заявил представитель Microsoft. Компания не уточнила, когда и как было установлено, что предыдущее исправление можно обойти.
Число организаций, уже пострадавших или потенциально подверженных атакам, всё ещё расследуется, но Shadowserver заявила, что обнаружила более 2800 экземпляров служб обновления Windows Server Update Services с портами 8530 и 8531, доступных из интернета, что является необходимым условием для эксплуатации уязвимости. По состоянию на пятницу около 28% этих экземпляров находились в США.
«Эксплуатация этой уязвимости носит неизбирательный характер. Если неисправленный экземпляр служб Windows Server Update Services находится в сети, на этом этапе он, вероятно, уже скомпрометирован», — написал в электронном письме Бен Харрис, основатель и генеральный директор watchTowr. «Это касается не только сред с низким уровнем риска — некоторые из затронутых объектов — именно те цели, которые злоумышленники считают приоритетными».
Компания Huntress зафиксировала пять активных атак, связанных с CVE-2025-59287. Хаммонд сообщил, что Huntress наблюдала лишь начальные этапы эксплуатации уязвимости, включая команду сетевого администратора провести обследование местности, проанализировать окружение и передать полученную информацию во внешний носитель. «Больше никаких вредоносных последствий это не принесло», — сказал он.
Службы обновления Windows Server имеют одни из самых высоких привилегий в среде серверов Windows, поэтому злоумышленники, эксплуатирующие CVE-2025-59287, «владели этой машиной, которая была полностью скомпрометирована», — сказал Хаммонд.
Риск компрометации может распространиться на «некоторые потенциальные махинации в цепочке поставок, которые только открывают дверь этой возможности», добавил он. По словам Хаммонда, злоумышленники могут передавать обновления на другие подключённые хосты или компьютеры, ожидающие получения новых конфигураций или изменений с этого центрального сервера.
Команда реагирования на инциденты подразделения 42 компании Palo Alto Networks согласилась с этой оценкой. «Взломав этот единственный сервер, злоумышленник может получить контроль над всей системой распространения обновлений», — написал в электронном письме Джастин Мур, старший менеджер по исследованию угроз в подразделении 42.
«Без аутентификации они могут получить контроль на уровне системы и провести разрушительную атаку на внутреннюю цепочку поставок», — добавил Мур. «Они могут внедрить вредоносное ПО на каждую рабочую станцию и сервер в организации, замаскировав его под легитимное обновление Microsoft. Это превращает доверенный сервис в оружие массового распространения».
Microsoft и исследователи, отслеживающие эту уязвимость, неизменно отмечают, что службы Windows Server Update Services ни в коем случае не должны быть доступны для публичного доступа в Интернете. Злоумышленники не смогут воспользоваться уязвимостью, не требующей аутентификации, в экземплярах служб Windows Server Update Services, которые блокируют входящий трафик из общедоступного Интернета.
В сентябре компания Microsoft прекратила поддержку служб обновления Windows Server, отметив, что она продолжает поддерживать инструмент распространения обновлений программного обеспечения, но больше не занимается его активной разработкой и не планирует добавлять в него новые функции.
