微軟(Microsoft) 近日發布OOB安全更新 (Out-of-Band),修補 Windows Server Update Service (WSUS) 存在的重大遠端程式碼執行 漏洞。該漏洞追蹤編號為 CVE-2025-59287,目前已有公開的概念驗證攻擊程式碼,企業組織應立即採取修補行動。
WSUS 是 Microsoft 提供的產品,讓 IT 管理者能夠管理並發送 Windows 更新至網路內的電腦。此次漏洞僅影響啟用 WSUS Server Role 的 Windows 伺服器,該功能預設並未啟用。
無需身份驗證即可遠端攻擊
CVE-2025-59287 被評為重大嚴重性漏洞,可透過遠端方式利用,攻擊複雜度低且無需使用者互動。威脅行為者無需任何權限即可鎖定脆弱系統,並以系統權限執行惡意程式碼。這使得該漏洞具有蠕蟲化特性,可能在 WSUS 伺服器之間自動傳播。
Microsoft 說明:「未啟用 WSUS 伺服器角色的 Windows 伺服器不受此漏洞影響。若啟用 WSUS 伺服器角色,則伺服器在未安裝修補程式前啟用該角色時將變得脆弱。」
攻擊者可傳送特製的事件,觸發舊版序列化機制中的不安全物件反序列化 (unsafe object deserialization),進而導致遠端程式碼執行。由於攻擊無需身份驗證且複雜度低,這使得該漏洞對企業環境構成嚴重威脅。
PoC 攻擊程式碼已公開流傳
Microsoft 在週四更新原始資安公告時揭露,CVE-2025-59287 的概念驗證攻擊程式碼目前已在網路上公開流傳。這意謂著漏洞利用門檻大幅降低,任何具備基本技術能力的攻擊者都可能嘗試利用此漏洞,使得立即修補變得更加關鍵。
Microsoft 已為所有受影響的 Windows Server 版本發布安全更新,並建議客戶儘快安裝:
Windows Server 2025 (KB5070881)
Windows Server, version 23H2 (KB5070879)
Windows Server 2022 (KB5070884)
Windows Server 2019 (KB5070883)
Windows Server 2016 (KB5070882)
Windows Server 2012 R2 (KB5070886)
Windows Server 2012 (KB5070887)
Microsoft 強調,這是累積性更新,管理者無需先安裝先前的更新即可直接安裝此更新,因為它取代所有先前針對受影響版本的更新。若尚未安裝 2025 年 10 月的 Windows 安全更新,Microsoft 建議改為套用此OOB更新。安裝更新後需要重新啟動系統。
無法立即修補的暫時性防護措施
對於無法立即安裝緊急修補程式的管理者,Microsoft 提供了暫時性防護措施:
- 停用 WSUS Server Role:移除攻擊向量,但 Windows 端點將停止從本地伺服器接收更新
- 阻擋埠口 8530 和 8531 的所有入站流量:在主機防火牆上設定,使 WSUS 無法運作
然而,必須注意的是,停用 WSUS 或阻擋流量後,Windows 端點將無法從本地伺服器獲得更新。這些措施僅為權宜之計,組織仍應盡快安裝正式修補程式。
Microsoft 在另一份支援文件中說明,安裝此更新或後續更新後,WSUS 將不再顯示同步錯誤詳細資訊。這項功能被暫時移除,以解決 CVE-2025-59287 RCE 漏洞。管理者在修補後可能會注意到這項功能變更。
建議行動
鑑於此漏洞的高危性質、低攻擊複雜度以及 PoC 已公開的事實,所有啟用 WSUS Server Role 的組織應:
- 立即檢視環境中是否有啟用 WSUS 伺服器角色的系統
- 優先排程安裝對應版本的緊急修補程式
- 若無法立即修補,採取暫時性防護措施
- 監控網路流量,留意針對 WSUS 埠口的異常連線嘗試
- 安裝更新後確實重新啟動系統
此次緊急更新凸顯了及時修補的重要性。當漏洞具備無需身份驗證、低攻擊複雜度且 PoC 已公開等特性時,組織面臨的風險將急遽上升。IT 團隊應將此更新列為最高優先級,確保企業 Windows Server 基礎設施的安全性。
本文轉載自bleepingcomputer。