28/10/25
Всего через несколько дней после выхода экстренного обновления Microsoft и добавления проблемы в каталог CISA KEV, исследователи уже отмечают масштабные атаки с её использованием, пишет Securitylab.
Несмотря на сообщения о фактических взломах, Microsoft до сих пор не изменила статус уведомления о CVE-2025-59287, где уязвимость по-прежнему указана как не эксплуатируемая. Компания лишь оценивает вероятность атак как «более вероятную», хотя данные из разных источников указывают, что атаки уже идут в полную силу.
Команда Google Threat Intelligence Group (GTIG) подтвердила, что зафиксировала кампанию с использованием этой ошибки, проводимую новым актором, отслеживаемым как UNC6512. После получения доступа злоумышленники выполняют команды для разведки системы и инфраструктуры, а затем выводят данные с заражённых серверов.
Уязвимость затрагивает Windows Server 2012–2025 и вызвана небезопасной десериализацией непроверенных данных, позволяющей выполнять произвольный код без аутентификации. Серверы, где роль WSUS не активирована, остаются вне зоны риска.
Первая версия исправления была выпущена 8 октября в рамках стандартного цикла обновлений, но оказалась неполной. Уже через неделю Microsoft опубликовала внеплановый апдейт, однако вскоре после этого началась волна атак. По данным Trend Micro, за последние 7 дней зафиксировано около 100 000 попыток эксплуатации. В Zero Day Initiative сообщили, что в сети остаются почти 500 000 серверов с включённым WSUS, и уязвимые экземпляры атакуются без разбора, независимо от отрасли и региона.
По наблюдениям аналитиков Unit 42, атаки направлены на публично доступные WSUS-серверы, использующие стандартные порты 8530 (HTTP) и 8531 (HTTPS). После успешного вторжения злоумышленники применяют PowerShell для сбора сведений о сети — включая команды whoami, net user /domain и ipconfig /all, — и передают собранные данные на сторонний сервер через Invoke-WebRequest или curl.exe.
Unit 42 отмечает, что атаки пока ограничиваются разведкой, но их последствия могут оказаться катастрофическими: скомпрометированный WSUS способен распространять вредоносное ПО в рамках обновлений для всей корпоративной инфраструктуры. При этом сложность эксплуатации минимальна, а PoC-эксплоит доступен с 21 октября, что делает уязвимость крайне привлекательной для массовых атак.
Часть исследователей указывает, что проблемы Microsoft с неполными исправлениями наблюдаются не впервые. ZDI напомнили, что аналогичные ситуации возникали с SharePoint, и призвал компанию уделять больше внимания качеству устранения уязвимостей, поскольку неполный патч создаёт ложное ощущение безопасности у корпоративных клиентов.
