Kritieke WSUS-exploit actief: CVE-2025-59287 aanvalsanalyse

Noodpatch vrijgegeven voor kritieke WSUS-kwetsbaarheid

Microsoft heeft noodbeveiligingsupdates vrijgegeven om CVE-2025-59287 aan te pakken, een kritieke kwetsbaarheid voor externe code-uitvoering in Windows Server Update Services (WSUS) die al actief wordt uitgebuit. Het lek, met een CVSS-score van 9.8, stelt niet-geauthenticeerde aanvallers in staat om willekeurige code uit te voeren met SYSTEM-privileges via onveilige object-deserialisatie in WSUS-servers.

'Onze ochtendkoffie werd ruw verstoord door een kritieke waarschuwing van het WSUS-systeem van een klant,' zei Bas van den Berg, beveiligingsonderzoeker bij Eye Security, die als eerste de uitbuiting in het wild documenteerde. 'De waarschuwing wees op verdachte activiteit in onze EDR-telemetrie: whoami.exe was uitgevoerd, met w3wp.exe als bovenliggend proces. Dit wijst meestal sterk op een kwaadaardige ASPX-webshell.'

Hoe de exploit werkt

De kwetsbaarheid bevindt zich in de onveilige deserialisatie van AuthorizationCookie-objecten in WSUS's BinaryFormatter. Aanvallers kunnen speciaal vervaardigde verzoeken sturen naar het ClientWebService/client.asmx-eindpunt op poorten 8530 (HTTP) of 8531 (HTTPS) om externe code-uitvoering te activeren. Beveiligingsbedrijf HawkTrace publiceerde technische details en een proof-of-concept exploit op 18 oktober 2025, die aanvankelijk rekenmachine-pop-up mogelijkheden demonstreerde.

Echter, echte aanvallers hebben de exploit aanzienlijk verbeterd. 'Dit was heel anders dan de POC van HawkTrace en toont aan dat de dreigingsactor capaciteiten had die verder gaan dan die van een scriptkiddie,' merkte van den Berg op. De aanvallers gebruikten een ysoserial.net gadget-keten met een ingebed PE-bestand dat commando-invoer van HTTP-headers neemt en ze uitvoert via cmd.exe.

Bewijs van actieve uitbuiting

Onderzoek van Eye Security onthulde handmatige verkenning met commando's gescheiden door seconden, wat wijst op handmatige operaties in plaats van geautomatiseerde scripts. De aanvallers gebruikten de exploit om systeemenumeratiecommando's uit te voeren en mogelijk voorbereidingen te treffen voor ransomware-implementatie.

Volgens CISA heeft het Amerikaanse Cybersecurity and Infrastructure Security Agency deze kwetsbaarheid toegevoegd aan zijn catalogus van bekende uitgebuitte kwetsbaarheden en vereist het dat federale agentschappen uiterlijk 14 november 2025 remediëren.

Wereldwijde impact en blootstelling

Initiële internetscans onthulden ongeveer 8.000 WSUS-servers blootgesteld aan internet, waarvan vele behoren tot hoogwaardige organisaties. Het Nederlandse Nationaal Cyber Security Centrum (NCSC-NL) heeft ook actieve uitbuiting in Nederland bevestigd.

'We hebben de exploit-keten gereproduceerd en met de juiste aanroep van ysoserial.net konden we willekeurige externe code-uitvoering bereiken,' benadrukte van den Berg. 'De implicaties zijn duidelijk: dit is een serieuze dreiging die onmiddellijke actie vereist.'

Onmiddellijke aanbevelingen

Microsoft heeft patches vrijgegeven voor alle getroffen Windows Server-versies (2025, 2022, 2019, 2016, 2012 R2 en 2012) via KB5070883. Organisaties moeten:

• De noodpatch onmiddellijk toepassen en getroffen systemen herstarten
• Zorgen dat WSUS-servers niet aan internet worden blootgesteld tenzij absoluut noodzakelijk
• State-of-the-art EDR-oplossingen implementeren met menselijke triage-mogelijkheden
• SoftwareDistribution.log monitoren op specifieke Indicators of Compromise

Voor organisaties die niet onmiddellijk kunnen patchen, omvatten tijdelijke workarounds het uitschakelen van de WSUS Server Role of het blokkeren van inkomend verkeer op poorten 8530 en 8531, hoewel dit lokale eindpunten zal verhinderen updates te ontvangen.