Uma vulnerabilidade crítica em Windows Server Update Services (WSUS) foi descoberta em servidores Windows e já sofre de exploração ativa, segundo avisos de agências e empresas de segurança. Rastreada como CVE-2025-59287, a falha recebeu pontuação CVSS 9.8/10 e permite execução remota de código por meio de desserialização insegura de dados, o que significa que um único pedido forjado pode conceder controle total sobre um servidor afetado.
A Microsoft incluiu uma correção inicial na atualização de outubro (Patch Tuesday), mas foi obrigada a emitir um patch fora de banda (out-of-band) depois que na prova de conceito pública, atividades de exploração foram observadas. As autoridades de segurança, incluindo a CISA, emitiram orientações urgentes aos administradores para aplicar o patch emergencial e reiniciar servidores WSUS afetados.
Quem está em risco
A vulnerabilidade afeta servidores Windows com a função WSUS habilitada (Disponível desde o Windows Server 2012). Servidores sem o WSUS não são vulneráveis. Instâncias WSUS acessíveis pela internet com as portas TCP 8530/8531 abertas são os principais alvos e têm sido exploradas ativamente por atacantes. Pesquisas indicam atividade ofensiva explorando o cookie de autorização para a desserialização maliciosa e execução de comandos.
Relatos de pesquisadores e equipes de resposta mostram que a exploração pode permitir não só execução de código com privilégios SYSTEM, mas também manipulação do fluxo de atualizações WSUS. Dessa forma, invasores poderiam forjar ou distribuir atualizações maliciosas para clientes conectados, amplificando o impacto. Pesquisadores independentes demonstraram cenários de pós-exploração onde atualizações falsas eram impostas a clientes. Essa combinação torna o bug especialmente perigoso em ambientes que centralizam atualizações via WSUS.
O que as organizações devem fazer agora
- Aplicar o patch OOB imediatamente em todos os servidores WSUS identificados e reiniciar as máquinas conforme instruído pelas notas da Microsoft. A CISA e avisos oficiais enfatizam a urgência dessa ação;
- Isolar instâncias WSUS expostas: bloquear imediatamente o tráfego de entrada para portas 8530/8531 no firewall perimetral e em hosts afetados, até que o patch seja confirmado como aplicado;
- Verificar sinais de comprometimento: auditar logs de IIS, eventos do Windows, e executar buscas por atividade incomum (processos iniciados pelo serviço WSUS/IIS, comandos PowerShell suspeitos, transferências para webhooks/hosts remotos). Se houver indícios de exploração, trate como incidente grave e isole o servidor;
- Revogar e rotacionar credenciais usadas por WSUS e sistemas críticos se houver suspeita de intrusão; considerar restauração a partir de backups confiáveis e análise forense antes de recolocar o serviço em produção;
- Comunicar stakeholders, equipe de resposta a incidentes, fornecedores, e, conforme aplicável, reguladores, especialmente se houver exposição de dados sensíveis;
- Desabilitar o WSUS temporariamente em hosts não essenciais, quando viável, até que o ambiente esteja comprovadamente limpo e atualizado. Essa medida impede risco imediato, embora interrompa o fluxo de atualizações aos endpoints.
Várias equipes relatam que a Microsoft demorou a declarar exploração ativa publicamente e que a divulgação inicial não cobriu totalmente o risco. A empresa afirma que quem instalou as atualizações mais recentes está protegido, mas as evidências de exploração e relatos de ferramentas PoC exigem cautela máxima dos administradores.
O CVE-2025-59287 é um exemplo de por que serviços de infraestrutura não devem ficar expostos à internet sem camadas de proteção. A combinação de gravidade alta, facilidade de exploração e impacto em cadeia com atualizações forjadas coloca a vulnerabilidade entre as mais críticas do ano. Se sua organização roda WSUS, trate isso como um incidente de prioridade máxima.
Ajude o Diolinux a se manter independente e crescendo: seja membro Diolinux Play e receba benefícios exclusivos!