Exploração Crítica do WSUS Ativa: Análise do Ataque CVE-2025-59287

Patch de Emergência Liberado para Vulnerabilidade Crítica do WSUS

A Microsoft lançou atualizações de segurança de emergência para abordar a CVE-2025-59287, uma vulnerabilidade crítica de execução remota de código no Windows Server Update Services (WSUS) que já está sendo explorada ativamente. A falha, com pontuação CVSS de 9.8, permite que atacantes não autenticados executem código arbitrário com privilégios SYSTEM por meio de desserialização insegura de objetos em servidores WSUS.

'Nosso café da manhã foi interrompido por um alerta crítico do sistema WSUS de um cliente,' disse Bas van den Berg, pesquisador de segurança da Eye Security, que documentou pela primeira vez a exploração em ambiente real. 'O alerta indicava atividade suspeita em nossa telemetria EDR: whoami.exe foi executado, com w3wp.exe como processo pai. Isso geralmente indica fortemente uma webshell ASPX maliciosa.'

Como a Exploração Funciona

A vulnerabilidade está na desserialização insegura de objetos AuthorizationCookie no BinaryFormatter do WSUS. Os atacantes podem enviar solicitações especialmente criadas para o endpoint ClientWebService/client.asmx nas portas 8530 (HTTP) ou 8531 (HTTPS) para acionar a execução remota de código. A empresa de segurança HawkTrace publicou detalhes técnicos e uma prova de conceito de exploração em 18 de outubro de 2025, que inicialmente demonstrou capacidades de pop-up da calculadora.

No entanto, atacantes reais melhoraram significativamente a exploração. 'Isso foi muito diferente da POC da HawkTrace e mostra que o ator de ameaça tinha capacidades que vão além de um script kiddie,' observou van den Berg. Os atacantes usaram uma cadeia de gadgets ysoserial.net com um arquivo PE incorporado que recebe entrada de comandos de cabeçalhos HTTP e os executa via cmd.exe.

Evidência de Exploração Ativa

A pesquisa da Eye Security revelou exploração manual com comandos separados por segundos, indicando operações manuais em vez de scripts automatizados. Os atacantes usaram a exploração para executar comandos de enumeração do sistema e possivelmente fazer preparativos para implantação de ransomware.

De acordo com a CISA, a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA adicionou esta vulnerabilidade ao seu catálogo de vulnerabilidades exploradas conhecidas e exige que agências federais remediem até 14 de novembro de 2025.

Impacto Global e Exposição

Varreduras iniciais da internet revelaram aproximadamente 8.000 servidores WSUS expostos à internet, muitos pertencentes a organizações de alto valor. O Centro Nacional de Segurança Cibernética da Holanda (NCSC-NL) também confirmou exploração ativa nos Países Baixos.

'Reproduzimos a cadeia de exploração e com a chamada adequada do ysoserial.net conseguimos alcançar execução remota de código arbitrária,' enfatizou van den Berg. 'As implicações são claras: esta é uma ameaça séria que requer ação imediata.'

Recomendações Imediatas

A Microsoft lançou patches para todas as versões afetadas do Windows Server (2025, 2022, 2019, 2016, 2012 R2 e 2012) via KB5070883. As organizações devem:

• Aplicar imediatamente o patch de emergência e reiniciar os sistemas afetados
• Garantir que servidores WSUS não sejam expostos à internet, a menos que absolutamente necessário
• Implementar soluções EDR de última geração com capacidades de triagem humana
• Monitorar SoftwareDistribution.log por Indicadores Específicos de Comprometimento

Para organizações que não podem aplicar patches imediatamente, as soluções alternativas temporárias incluem desativar a Função de Servidor WSUS ou bloquear tráfego de entrada nas portas 8530 e 8531, embora isso impeça que endpoints locais recebam atualizações.