仍有4,600多台WSUS服务器在关键RCE漏洞(CVE-2025-59287)曝光后未打补丁
Criminal IP 出品
阅读时长4分钟·2025年11月6日
2025年10月14日,微软披露了一个WSUS RCE漏洞 CVE-2025-59287(CVSS 9.8)。该漏洞无需认证即可利用,且概念验证代码已公开,导致攻击者能够积极利用。微软在10月补丁中发布了初始修复,但修复不完整;随后于10月23日分发了紧急跟进补丁,强烈建议安装。
CVE-2025-59287 详解:Microsoft WSUS RCE 漏洞说明
CVE-2025-59287 是 Windows Server Update Services (WSUS) 中的一个漏洞,在处理反序列化过程中未对未经验证的数据进行校验。攻击者可构造特制的 AuthorizationCookie(或类似对象),在无需认证的情况下以 SYSTEM 权限远程执行任意代码。
由于 WSUS 在分发更新中扮演核心角色,受感染的 WSUS 服务器可能成为内网横向移动和大规模传播的跳板。当 WSUS 通过默认端口(8530/8531)暴露在互联网上时,很容易被自动化扫描利用。
WSUS RCE 漏洞如何被利用
该漏洞的利用流程相对简单但极具破坏性:
-
攻击者扫描并锁定公开暴露的 WSUS 实例(默认 TCP 端口 8530/8531),无需认证即可获得初始访问权限。
-
观察到的取证进程链包括:
wsusservice.exe → cmd.exe → cmd.exe → powershell.exe- 或
w3wp.exe → cmd.exe → cmd.exe → powershell.exe
-
这些进程链执行恶意 PowerShell 命令。初始载荷运行诸如
whoami、net user /domain和ipconfig /all等命令,快速映射内部域结构并识别用于横向移动的高价值账户。 -
收集到的信息通过
Invoke-WebRequest(或按需使用curl.exe)外泄到攻击者控制的端点(例如 Webhook.site)。
因此,WSUS 服务器必须立即应用微软的最新安全更新。如果无法紧急打补丁,应实施临时缓解措施,例如阻断 WSUS 端口或禁用 WSUS。
Criminal IP 检测发现 4,616 个未受保护实例
攻击者最初针对默认 TCP 端口 8530 (HTTP) 和 8531 (HTTPS) 上公开暴露的 WSUS 实例。使用 Criminal IP 资产搜索,可以识别出易于被扫描的暴露 WSUS 实例。
搜索可发现 WSUS 设备的查询 —— "Microsoft-IIS" port:8530 OR port:8531 —— 结合了 HTTP Server 头 Microsoft-IIS(表明 Windows Server / IIS)与 WSUS 的默认 TCP 端口 8530 和 8531,以检测匹配的实例。
Criminal IP 搜索查询:
"Microsoft-IIS" port:8530 OR port:8531
www.criminalip.io/asset/searc…
截至 2025 年 11 月 4 日,Criminal IP 报告共有 4,616 个外部暴露的 WSUS 实例。鉴于该未认证 RCE 漏洞被积极利用,这 4,616 个暴露资产是需要立即修复的高优先级目标。
Criminal IP 按国家/地区数据细分
使用 Criminal IP 的 Element Analysis,可以查看暴露于 WSUS RCE 漏洞的资产的国别统计。
Criminal IP Element Analysis:
"Microsoft-IIS" port:8530 OR port:8531
www.criminalip.io/intelligenc…
在 4,616 个暴露资产中,美国占最大份额,有 1,033 个暴露实例,约占总数的 22%。德国、中国和英国紧随其后,分别有 395、286 和 212 个暴露实例。这些国家拥有大型企业基础设施,急需采取安全措施。
对扫描目标 IP 的深入分析
点击 Criminal IP 资产搜索中检测到的 WSUS 实例,可进入 IP 报告进行详细分析。
例如,对检测到的 WSUS 目标的分析显示,某些资产开放了多个端口(例如,22 端口上的 SSH 和 8530 端口上的 WSUS)。具有暴露远程端口的资产不仅是当前 WSUS RCE 利用的初始目标,也是涉及其他漏洞的链式攻击的潜在候选。
针对 WSUS RCE 漏洞 (CVE-2025-59287) 的安全措施
由于 CVE-2025-59287 可实现代码执行并可能夺取 SYSTEM 权限,管理员应立即实施以下措施(包括微软官方建议):
- 立即应用紧急补丁: 安装微软发布的安全更新以修复漏洞。
- 限制互联网暴露和访问控制: 将 WSUS 服务器置于经过身份验证的代理之后,或以其他方式限制直接互联网暴露和端口可访问性。
- 进行详细的 Web 和系统日志分析: 调查对 WSUS 端口的可疑请求或 PowerShell 执行的迹象,以检测潜在的入侵。
- 持续的攻击面监控: 使用诸如 Criminal IP 之类的攻击面管理工具,主动检查内部资产的外部暴露情况。
结论
CVE-2025-59287(WSUS RCE)是一个高风险漏洞,结合了未经认证的远程代码执行以及内部服务暴露于互联网的风险。由于全球有数千个资产暴露,管理员必须优先安装微软的紧急更新,验证并限制 WSUS 服务器的外部暴露,并使用诸如 Criminal IP 之类的攻击面管理和威胁情报工具进行主动防御。
与此相关,您可以参考《三个关键 Apache Tomcat 漏洞 —— 超过 54 万个暴露实例需要立即检查(CVE-2025-55752、CVE-2025-55754、CVE-2025-61795)》。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyHFl1415NsQzESpiaHqTM4zdwdCFGH3Xng4/AUddYubU+oQFRi9LLW+FTX595zP+dRLKZnhxZSblmYGup4I80jutuuXuh7137eqGrIsVMhouMAZGUZyJZsjMQa8a8PT9Dw=
