CVE-2025-59287: RCE critico in Windows Server Update Services (WSUS)

Descrizione e contesto

• Nome e classe: CVE-2025-59287
• Tipologia: Esecuzione di codice remoto (RCE) non autenticata tramite deserializzazione insicura (“unsafe deserialization”) di dati non fidati nel componente WSUS. 
• Gravità / punteggio CVSS: 9,8 (critico) 
• Prodotti affetti: Server Microsoft Windows con il ruolo WSUS attivato, nelle versioni 2012, 2012 R2, 2016, 2019, 2022 (inclusa edizione 23H2) e 2025 (fino alle build vulnerabili). 
• Condizione di attivazione: la vulnerabilità è rilevante solo se il ruolo WSUS Server è abilitato (non è attivo per impostazione predefinita).
• Modalità di attacco: l’attaccante invia richieste appositamente costruite a endpoint WSUS che innescano la deserializzazione di oggetti AuthorizationCookie (o tramite il ReportingWebService con SoapFormatter) senza adeguata validazione, consentendo l’esecuzione di codice arbitrario con privilegi di sistema.

Meccanismo di attacco (chain)

1. L’attaccante invia una richiesta HTTP (POST) contro endpoint WSUS come /SimpleAuthWebService/SimpleAuth.asmx o /ReportingWebService/ReportingWebService.asmx, contenente dati serializzati malevoli. 
2. Il server WSUS deserializza il dato (usando BinaryFormatter / SoapFormatter) senza controlli, generando l’oggetto malevolo che può includere la logica di esecuzione di comandi.
3. Il codice iniettato può attivare processi come cmd.exe o powershell.exe, svolgere operazioni di reconnaissance, esportare dati di configurazione o rete, e comunicare con server di comando e controllo (C2). 
4. Se il server WSUS è compromesso, l’attaccante può abusare della sua posizione centrale per distribuire update malevoli o estendere l’accesso ad altri sistemi nell’ambiente. 

Huntress ha osservato attacchi attivi già poche ore dopo il rilascio della patch out-of-band, con richieste contro server WSUS esposti (porte 8530 / 8531) e utilizzo di payload codificati base64.

Impatti e rischi

•  Esecuzione di codice con privilegi SYSTEM su server WSUS compromessi
• Compromissione estesa della rete tramite pivoting, distribuzione di update infetti, movimento laterale
• Scoperta ed esfiltrazione di informazioni sensibili, credenziali, configurazioni di rete
• Elevato rischio operativo, poiché WSUS è un punto centrale per la gestione degli aggiornamenti Microsoft
• Inserita da CISA nel catalogo “Known Exploited Vulnerabilities” – obblighi di patch per molte organizzazioni federali USA

Mitigazioni e soluzioni

Patch ufficiali

Microsoft ha pubblicato aggiornamenti out-of-band il 23 ottobre 2025 per risolvere definitivamente CVE-2025-59287.

Ad esempio:

• Windows Server 2025: KB5070881 
• Windows Server 2016 → KB5070882 
• Altri aggiornamenti corrispondenti per le versioni affette (2012, 2019, 2022, etc.) 

Nota: Dopo l’applicazione, la funzionalità di visualizzazione dei dettagli di sincronizzazione errori in WSUS è temporaneamente rimossa nel servizio WSUS per mitigare la vulnerabilità. 

Contromisure temporanee (quando la patch non è immediata)

• Disabilitare il ruolo WSUS Server sui sistemi vulnerabili, rimuovendo l’esposizione del servizio 
• Bloccare l’accesso in ingresso (firewall) verso le porte TCP 8530 (HTTP) e 8531 (HTTPS) sui server WSUS 
• Isolare i server WSUS all’interno di segmenti di rete non direttamente esposti all’Internet pubblico
• Monitorare i log per richieste sospette nei web service WSUS (POST su endpoint ReportingWebService, SimpleAuthWebService), comandi cmd/powershell generati dal processo web / WSUS 

Raccomandazioni generali

• Valutare l’esposizione pubblica dei server WSUS e ridurre la superficie d’attacco
• Rivedere le configurazioni di rete con controlli di accesso restrittivi
• Effettuare scansioni di vulnerabilità (es. plugin Nessus) per identificare sistemi mancanti patch (ad esempio plugin 271440 correlato a KB5070881) 
• Preparare piani di risposta a incidenti in caso di compromissione
• Verificare che la patch sia applicata correttamente e che il sistema sia riavviato

Conclusione

CVE-2025-59287 rappresenta una vulnerabilità critica che colpisce un componente di infrastruttura essenziale per la gestione degli aggiornamenti Microsoft. Data la facilità di attacco (nessuna autenticazione richiesta) e l’impatto potenziale, è fondamentale che amministratori di sistema e team di cybersecurity:

1. Verifichino quali server nella propria infrastruttura hanno il ruolo WSUS attivo
2. Applicare immediatamente le patch Microsoft out-of-band
3. Se non è possibile patchare subito, disabilitare o bloccare l’accesso WSUS tempestivamente
4. Monitorare comportamenti sospetti e prepararsi a rispondere a eventuali incidenti

Riferimenti

1. https://www.techradar.com/pro/security/microsoft-issues-emergency-windows-server-security-patch-update-now-or-risk-attack?utm_source=chatgpt.com
2. https://www.itpro.com/security/cisa-issues-alert-after-botched-windows-server-patch-exposes-critical-flaw?utm_source=chatgpt.com

SOC