Still 4,600+ WSUS Servers Unpatched After Critical RCE Flaw (CVE-2025–59287)
2025年10月14日,微软披露了一个WSUS RCE漏洞CVE-2025-59287(CVSS 9.8)。该漏洞无需认证即可利用,且概念验证代码已公开,导致攻击者能够积极利用。微软在10月补丁中发布了初始修复,但不完整;于10月23日分发了紧急跟进补丁,强烈建议安装。
CVE-2025-59287详解:Microsoft WSUS RCE漏洞说明
CVE-2025-59287是Windows Server Update Services (WSUS)中的一个漏洞,在反序列化过程中处理未经验证的数据。攻击者可构造特制的AuthorizationCookie(或类似对象),无需认证即可远程执行任意代码,并以SYSTEM权限运行。
由于WSUS在分发更新中扮演核心角色,受感染的WSUS服务器可能成为内网横向移动和大规模传播的跳板。当WSUS在默认端口(8530/8531)暴露于互联网时,通过自动化扫描可轻易利用。
WSUS RCE漏洞的利用方式
该漏洞的利用流程相对简单但极具破坏性:
- 攻击者扫描并锁定公网暴露的WSUS实例(默认TCP端口8530/8531),无需认证即可获得初始访问权限。
- 观察到的取证进程链包括:
wsusservice.exe → cmd.exe → cmd.exe → powershell.exe- 或
w3wp.exe → cmd.exe → cmd.exe → powershell.exe
- 这些进程链执行恶意PowerShell命令。初始载荷运行
whoami、net user /domain和ipconfig /all等命令,快速映射内部域结构并识别用于横向移动的高价值账户。 - 使用
Invoke-WebRequest(或必要时curl.exe)将收集的信息外发至攻击者控制的端点(例如Webhook.site)。
因此,WSUS服务器必须立即应用微软的最新安全更新。若无法紧急修补,应实施临时缓解措施,如阻断WSUS端口或禁用WSUS。
Criminal IP检测发现4,616个未保护实例
攻击者首先针对默认TCP端口8530(HTTP)和8531(HTTPS)上公网暴露的WSUS实例。使用Criminal IP资产搜索,可识别出易受扫描的暴露WSUS实例。
查找WSUS设备的查询语句——"Microsoft-IIS" port:8530 OR port:8531——结合了HTTP服务器头Microsoft-IIS(表示Windows Server/IIS)与WSUS的默认TCP端口8530和8531,用于检测匹配的实例。
Criminal IP搜索查询:
"Microsoft-IIS" port:8530 OR port:8531
www.criminalip.io/asset/searc…
截至2025年11月4日,Criminal IP报告共有4,616个外部暴露的WSUS实例。鉴于该未认证RCE漏洞正被积极利用,这4,616个暴露资产必须立即修复,属于高优先级目标。
Criminal IP按国家/地区的数据分布
使用Criminal IP的Element Analysis,可查看暴露于WSUS RCE漏洞的资产在国家层面的统计。
Criminal IP元素分析:
"Microsoft-IIS" port:8530 OR port:8531
www.criminalip.io/intelligenc…
在4,616个暴露资产中,美国占比最大,有1,033个暴露实例,约占总数的22%。德国、中国和英国紧随其后,分别有395、286和212个暴露实例。这些国家拥有大型企业基础设施,迫切需要采取安全措施。
扫描目标IP的深入分析
点击Criminal IP资产搜索中检测到的WSUS实例,可进入IP报告进行详细分析。
例如,对检测到的WSUS目标分析显示,部分资产开放了多个端口(例如端口22的SSH和端口8530的WSUS)。暴露远程端口的资产不仅是当前WSUS RCE漏洞利用的初始目标,也可能成为结合其他漏洞进行链式攻击的候选对象。
针对WSUS RCE漏洞(CVE-2025-59287)的安全措施
由于CVE-2025-59287可实现代码执行并可能夺取SYSTEM权限,管理员应立即实施以下措施(包含微软官方建议):
- 立即应用紧急补丁:安装微软发布的安全更新以修复漏洞。
- 限制互联网暴露和访问控制:将WSUS服务器置于认证代理之后,或以其他方式限制直接的互联网暴露和端口可访问性。
- 进行详细的Web和系统日志分析:检查对WSUS端口的可疑请求或PowerShell执行痕迹,以检测潜在的入侵。
- 持续的攻击面监控:使用诸如Criminal IP之类的攻击面管理工具,主动检查内部资产的外部暴露情况。
结论
CVE-2025-59287(WSUS RCE)是一个高风险漏洞,结合了未认证的远程代码执行以及内部服务暴露于互联网的风险。全球有数千个资产暴露,管理员必须优先安装微软的紧急更新,核实并限制WSUS服务器的外部暴露,并使用攻击面管理和威胁情报工具(如Criminal IP)进行主动防御。
与此相关,您可参考《三个关键Apache Tomcat漏洞——超54万暴露实例需立即检查(CVE-2025-55752、CVE-2025-55754、CVE-2025-61795)》。 CSD0tFqvECLokhw9aBeRqsG0goLdfBCvNdlf0D5Zs1fym+49wkwJrP8wy+K370OCsUOa08h5NKHvtM5FUaYnGLor/zXTzg54R3YyydlazzygFY+iGvkjN9RqLQaMj1AXb4wzWOqdKarn4bacTKe4y0+MM2dEh5hhSLgu6erONTw=
