Exploit critique WSUS actif : analyse de l'attaque CVE-2025-59287

Correctif d'urgence publié pour une vulnérabilité critique WSUS

Microsoft a publié des mises à jour de sécurité d'urgence pour résoudre CVE-2025-59287, une vulnérabilité critique d'exécution de code à distance dans Windows Server Update Services (WSUS) qui est déjà activement exploitée. Cette faille, avec un score CVSS de 9.8, permet à des attaquants non authentifiés d'exécuter du code arbitraire avec des privilèges SYSTEM via une désérialisation d'objets non sécurisée dans les serveurs WSUS.

'Notre café du matin a été brutalement interrompu par une alerte critique du système WSUS d'un client,' a déclaré Bas van den Berg, chercheur en sécurité chez Eye Security, qui a été le premier à documenter l'exploitation en conditions réelles. 'L'alerte indiquait une activité suspecte dans notre télémétrie EDR : whoami.exe avait été exécuté, avec w3wp.exe comme processus parent. Cela indique généralement fortement une webshell ASPX malveillante.'

Fonctionnement de l'exploit

La vulnérabilité se situe dans la désérialisation non sécurisée des objets AuthorizationCookie dans le BinaryFormatter de WSUS. Les attaquants peuvent envoyer des requêtes spécialement conçues vers le point de terminaison ClientWebService/client.asmx sur les ports 8530 (HTTP) ou 8531 (HTTPS) pour déclencher l'exécution de code à distance. La société de sécurité HawkTrace a publié des détails techniques et un exploit de preuve de concept le 18 octobre 2025, qui démontrait initialement des capacités d'ouverture de calculatrice.

Cependant, les véritables attaquants ont considérablement amélioré l'exploit. 'C'était très différent du POC de HawkTrace et montre que l'acteur de la menace avait des capacités allant au-delà de celles d'un script kiddie,' a remarqué van den Berg. Les attaquants ont utilisé une chaîne de gadgets ysoserial.net avec un fichier PE intégré qui prend les commandes d'entrée des en-têtes HTTP et les exécute via cmd.exe.

Preuve d'exploitation active

Les recherches d'Eye Security ont révélé une exploration manuelle avec des commandes séparées par des secondes, indiquant des opérations manuelles plutôt que des scripts automatisés. Les attaquants ont utilisé l'exploit pour exécuter des commandes d'énumération du système et potentiellement préparer le déploiement de ransomware.

Selon CISA, la Cybersecurity and Infrastructure Security Agency américaine a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées connues et exige que les agences fédérales y remédient au plus tard le 14 novembre 2025.

Impact mondial et exposition

Des scans Internet initiaux ont révélé environ 8 000 serveurs WSUS exposés à Internet, dont beaucoup appartiennent à des organisations de haute valeur. Le Centre national de cybersécurité néerlandais (NCSC-NL) a également confirmé une exploitation active aux Pays-Bas.

'Nous avons reproduit la chaîne d'exploitation et avec l'appel approprié de ysoserial.net, nous avons pu atteindre l'exécution de code à distance arbitraire,' a souligné van den Berg. 'Les implications sont claires : il s'agit d'une menace sérieuse qui nécessite une action immédiate.'

Recommandations immédiates

Microsoft a publié des correctifs pour toutes les versions de Windows Server affectées (2025, 2022, 2019, 2016, 2012 R2 et 2012) via KB5070883. Les organisations doivent :

• Appliquer immédiatement le correctif d'urgence et redémarrer les systèmes affectés
• S'assurer que les serveurs WSUS ne sont pas exposés à Internet sauf si absolument nécessaire
• Implémenter des solutions EDR de pointe avec des capacités de triage humain
• Surveiller SoftwareDistribution.log pour des indicateurs de compromission spécifiques

Pour les organisations ne pouvant pas appliquer immédiatement les correctifs, les solutions de contournement temporaires incluent la désactivation du rôle serveur WSUS ou le blocage du trafic entrant sur les ports 8530 et 8531, bien que cela empêchera les points de terminaison locaux de recevoir des mises à jour.