25 Ottobre 2025 13:00    Alert

Windows Server Update Services: attacchi attivi su CVE-2025-59287, RCE non autenticato via deserializzazione. Patch Microsoft e allerta CISA

Microsoft e CISA hanno segnalato l’exploit attivo della CVE-2025-59287 (CVSS 9.8), vulnerabilità di remote code execution nei server con WSUS Role abilitato (Windows Server 2012–2025). Il bug risiede nella deserializzazione non sicura di dati ricevuti tramite la funzione AuthorizationCookie (endpoint SOAP /ClientWebService/Client.asmx, metodo GetCookie). Un attacker può inviare un payload SOAP contenente un gadget chain cifrato che, grazie all’uso incauto di BinaryFormatter.Deserialize() senza type validation, viene deserializzato ed eseguito con privilegi SYSTEM.

La campagna di exploit usa richieste su porte 8530/8531, con iniezione di comandi Powershell (net user /domain, ipconfig /all, upload verso Webhook controllati dagli attaccanti).
L’attacco non richiede autenticazione: qualunque server WSUS esposto su Internet è potenzialmente vulnerabile. La patch di ottobre risultava inizialmente non completa: il fix definitivo (KB5070882 / KB5070883) è stato rilasciato il 24 ottobre.

Impatto:

  • RCE su server WSUS, pieno controllo e lateral movement sulla rete
  • Possibile esfiltrazione dati, installazione malware, compromissione supply chain patch
  • Exploit pubblico e triviale (“point-and-shoot”, PoC autopubblicati su GitHub e Reddit)

Azioni consigliate:

  • Applicare immediatamente la patch out-of-band di Microsoft (KB5070882/KB5070883, dal 24/10/2025)
  • Rimuovere l’esposizione diretta del servizio WSUS su Internet (porte 8530/8531)
  • Monitorare log IIS e WSUS per richieste SOAP sospette e processi figli anomali (cmd.exe, powershell.exe)
  • Forzare la rotazione delle credenziali su server compromessi

Conclusione:
Si tratta di una delle vulnerabilità più critiche del 2025, colpendo infrastrutture patching chiave e scaricando il rischio su ambienti enterprise di grandi dimensioni. L’assenza di autenticazione e la rapidità d’exploit rendono la correzione immediata.

 

Fonti: ACN, Picus Security, Microsoft