WSUS服务未认证远程代码执行漏洞深度剖析

qife122
100 阅读4分钟

概述

在Microsoft Windows Server Update Services (WSUS)中发现了一个严重的反序列化漏洞,允许未经认证的攻击者在受影响的服务器上执行任意代码。该漏洞由WSUS数据(AuthorizationCookie)的不安全反序列化触发,能够以SYSTEM权限实现远程代码执行,并已在活跃攻击活动中被观察到。在最初的Patch Tuesday修复未能完全解决问题后,Microsoft发布了带外(OOB)更新。

CVE ID: CVE-2025-59287
严重等级: 严重
CVSS评分: 9.8
EPSS评分: 9.40%
影响: 远程代码执行
攻击向量: 网络
需要认证: 否
易受攻击组件: Windows Server Update Services中的WSUS反序列化代码路径(/SimpleAuthWebService/SimpleAuth.asmx)

技术分析

CVE-2025-59287是Microsoft Windows Server Update Services (WSUS)中不安全反序列化的结果。WSUS接受AuthorizationCookie有效载荷,该载荷被解密后使用传统的.NET格式化程序(特别是BinaryFormatter,在某些代码路径中为SoapFormatter)进行反序列化,但没有足够的类型验证或允许列表。攻击者可以提供一个特制的加密AuthorizationCookie,在解密后包含恶意的序列化对象图,利用反序列化接收器实现任意对象实例化和后续执行。

研究和事件报告已识别出多个利用路径。一个向量针对GetCookie()流程,其中伪造的cookie被解密并直接传递到BinaryFormatter反序列化;序列化有效载荷中合适的gadget链可以在WSUS进程上下文中触发远程代码执行。第二个向量利用WSUS报告Web服务(例如ReportingWebService.asmx),其中特制的SOAP请求可以到达SoapFormatter反序列化接收器。两条路径均可通过网络访问,并且在可访问时无需认证即可利用。

成功利用可在WSUS服务权限(通常为SYSTEM)下实现任意代码执行,从而允许立即服务器入侵、持久化机制(Web shell、计划任务或服务)以及将主机用作横向移动的支点。该漏洞被归类为不安全反序列化(CWE-502),并因其未经认证、网络可访问的特性被评为严重严重等级(CVSS 9.8)。

利用条件

  • WSUS服务器角色必须安装在域控制器上
  • WSUS实例必须未修补CVE-2025-59287(未安装KB5070881/KB5070882/KB5070883)

利用过程

对于利用,我们将使用Offsec平台提供的Windows In-Browser机器。要使用的概念验证实现是CVE-2025-59287-WSUS。

第一步是编辑漏洞利用的Parameters部分以配置攻击者和目标详细信息。我们将设置监听主机的IP地址、WSUS服务目标URL以及我们将接收反向shell的本地端口。

# parameters
$lhost = "192.168.49.51"    # your kali netcat host
$lport = 53
$targetURL = "http://192.168.51.89:8530"  # WSUS URL

该脚本自动化创建和交付序列化有效载荷到WSUS ReportingWebService端点,以在WSUS控制台处理注入事件时实现远程代码执行。它通过多个SOAP调用获取或伪造所需的WSUS授权cookie/ID,构建包含base64编码的序列化gadget链(使用ysoserial.net生成)的恶意ReportEventBatch XML,该链嵌入了PowerShell反向shell,并将该事件发布到目标服务。

当管理员打开WSUS管理控制台时,反向shell有效载荷将被触发。

动手尝试:您可以通过OffSec Offensive Cyber Range实验室为CVE-2025-59287在受控环境中尝试利用这些漏洞。

缓解措施

  • 立即使用Microsoft 2025年10月23日的带外安全更新更新WSUS和Windows Server
  • 如果WSUS非必需,在完全修补前禁用WSUS服务器角色
  • 限制WSUS网络访问——阻止或过滤到管理端口(TCP 8530和8531)的入站连接,仅允许受信任的子网,并应用出站过滤以防止回调、有效载荷下载或反向shell连接

参考资料

  • NVD Entry for CVE-2025-59287
  • CVE Details for CVE-2025-59287
  • Microsoft KB Article for CVE-2025-59287 (KB5070882)
  • MSRC Advisory for CVE-2025-59287
  • CISA KEV Advisory for CVE-2025-59287
  • Unit42 Technical Writeup for CVE-2025-59287
  • Huntress Exploitation Report for CVE-2025-59287
  • Rapid7 Analysis for CVE-2025-59287
  • PoC / Technical writeup: WSUS AuthorizationCookie Deserialization (HawkTrace)
  • PoC repository: CVE-2025-59287-WSUS (tecxx GitHub)
avatar
文章
阅读
粉丝