Les entreprises sont invitées à appliquer des correctifs hors bande à une gamme de versions de Windows Server pour corriger la vulnérabilité du service de mise à jour de Windows Server que Microsoft n’a pas réussi à corriger complètement au début du mois.
Microsoft a publié jeudi des correctifs hors bande pour corriger « globalement » une vulnérabilité critique du service de mise à jour du serveur Windows (WSUS) après que les premiers correctifs publiés le 14 octobre se soient révélés insuffisants. Les attaquants ont exploité cette vulnérabilité à l’état sauvage après la publication cette semaine d’une analyse détaillée de la vulnérabilité et d’un exploit de validation de principe.
Suivie comme CVE-2025-59287, la vulnérabilité provient d’une désérialisation dangereuse de l’objet AuthorizationCookie dans les environnements WSUS. Une exploitation réussie permet l’exécution de code à distance avec les privilèges SYSTEM.
WSUS est couramment utilisé dans les environnements d’entreprise pour fournir des mises à jour Microsoft aux systèmes Windows de manière contrôlée. Le service n’est pas activé par défaut sur les serveurs Windows mais peut être activé en activant le rôle de serveur WSUS.
Microsoft a inclus un correctif pour CVE-2025-59287 dans sa version d’octobre Patch Tuesday du 14 octobre. Mais le correctif initial n’était apparemment pas complet et nécessitait une nouvelle série de mises à jour pour Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022 (édition 23H2, installation Server Core) et Windows Server 2025.
Selon l’avis mis à jour de l’entreprise, les organisations devraient déployer ces mises à jour dès que possible. Les solutions de contournement incluent la désactivation du rôle de serveur WSUS ou le blocage du trafic entrant vers les ports 8530 et 8531, mais ces deux actions rendront le service non opérationnel jusqu’à ce que les correctifs puissent être déployés.
Attaques observées dans la nature
L’avis de Microsoft ne mentionne pas l’exploitation dans la nature, mais des chercheurs de la société de cybersécurité Huntress et du Centre national de cybersécurité du gouvernement néerlandais ont rapporté séparément des preuves d’attaques. Cela s’est produit après qu’une analyse détaillée et une preuve de concept de la faille ont été publiées mercredi par des chercheurs de la société de cybersécurité HawkTrace.
« À partir du 23/10/2025 à 23h34 UTC, Huntress a observé des acteurs malveillants ciblant les instances WSUS exposées publiquement sur leurs ports par défaut (8530/TCP et 8531/TCP) », a écrit la société dans un article de blog vendredi. « Les attaquants ont exploité les points de terminaison WSUS exposés pour envoyer des requêtes spécialement conçues (plusieurs appels POST aux services Web WSUS) qui ont déclenché une RCE de désérialisation contre le service de mise à jour. »
L’activité d’exploitation a entraîné la génération d’une invite de commande et d’instances PowerShell par le processus de travail WSUS. Une charge utile codée en base64 a été téléchargée et exécutée dans PowerShell dans le but de découvrir les serveurs du réseau et de collecter des informations utilisateur qui ont ensuite été renvoyées vers une URL distante contrôlée par un attaquant.
Le rapport Huntress comprend des indicateurs détaillés de compromission, des artefacts médico-légaux et des règles de détection dans le format de détection ouvert Sigma SIEM.
