WSUS под прицелом

Баг, который даёт SYSTEM и адский доступ без лишних кликов

CISA опять бьёт тревогу — и на этот раз не зря. В центре драмы — критическая уязвимость в Windows Server Update Services (WSUS), получившая ярлык CVE-2025-59287. Если коротко: RCE, SYSTEM-права, нулевой юзер-интеракшен и все шансы устроить цифровой апокалипсис в сети, где админы прозевали патч. Microsoft уже выпустила внеплановые апдейты, но судя по активности на просторах интернета, у многих серверов защита пока из серии “ну мы собирались обновиться на выходных”.

Проблема всплыла после того, как ребята из HawkTrace Security выкатили PoC-эксплойт, и в тот же день Microsoft выдала срочные заплатки, закрывающие дыру. Но как это обычно бывает, половина айтишников в отпуске, другая половина “тестирует в песочнице”, и пока народ думает, баг уже крутят в реальных атаках.

Huntress первыми заметили, как по WSUS-инстансам с дефолтными портами 8530/TCP и 8531/TCP пошёл конкретный штурм. Eye Security из Нидерландов тоже отчитались: утро пятницы началось не с кофе, а с логов — скан, эксфиль, компрометация. Причём использовались не только публичные PoC’и, а и свежесобранные варианты под конкретные цели.

По данным Shadowserver, в сети торчит больше 2,800 WSUS-серверов с открытыми портами. Сколько из них уже проломлены — вопрос риторический. С учётом того, что WSUS по дефолту не зафайрволен и часто имеет прямой доступ в домен, дырка превращается в отличный входной билет в инфраструктуру любого масштаба.

Microsoft официально пометила баг как “Exploitation More Likely”, то есть “ребята, это не теоретика — это уже летает”. На бумаге они пока не признали активную эксплуатацию, но если верить телеметрии и отчётам охотников, атаки уже в дикой природе, и эксплойты не лежат без дела.

CISA, не дожидаясь, пока полиняет очередное министерство, добавила CVE-2025-59287 в свой каталог эксплуатируемых уязвимостей (Known Exploited Vulnerabilities) и выписала всем федеральным конторам приказ: “патчите до 14 ноября 2025, иначе жди беды”. Заодно туда же полетел ещё один баг — в Adobe Commerce (ex-Magento), потому что хакерам неважно, где дырка — главное, чтобы вкусная.

CISA предупреждает: такие RCE-шки — любимые игрушки для кибербанд, APT-шников и просто скучающих скрипткидди. Один открытый WSUS — и привет SYSTEM-level доступ, полный контроль над обновлениями и шанс запихнуть любую малварь под видом патча. По сути, это “supply chain attack” уровня миниатюры: бьёшь по апдейт-серверу — заражаешь всех клиентов.

Для тех, кто ещё не в панике: Microsoft уже разослала out-of-band обновления, ставим их сразу, без тестов, без “на потом”. После установки — ребутим WSUS. Если патч по каким-то причинам не вариант — отключай WSUS Server Role, пока не закроешь дыру, иначе кто-то закроет её за тебя, но уже с шеллом.

CISA также советует поднять голову от тикетов и просканировать сеть на наличие открытых 8530/8531 портов. Если где-то торчит WSUS наружу — считай, это не сервер, а подарочная коробка с root-доступом.

WSUS давно был тихим уголком инфраструктуры, куда никто не лез, пока всё работало. Но теперь он стал новым Playground для эксплойт-хантеров. Один баг — и кто-то уже льёт шеллы под видом обновлений безопасности.

Ирония в том, что сама система, призванная ставить патчи, теперь требует патча, чтобы не стать оружием. Classic Microsoft moment.

Короче, если ты админ и читаешь это — пора прервать кофе-брейк.
Проверь WSUS, поставь апдейт, перезапусти сервер.
Потому что если ты этого не сделаешь сегодня, то завтра кто-то сделает это за тебя. Только не так, как тебе хотелось бы.