Microsoft solta correção emergencial para falha crítica no WSUS já explorada por atacantes

A Microsoft disponibilizou na quinta-feira (data não divulgada) uma atualização out of band para eliminar a vulnerabilidade crítica CVE-2025-59287, que afeta o Windows Server Update Services (WSUS). Com pontuação 9,8 no CVSS, a falha permite execução remota de código e já está sendo utilizada em ataques reais.

O problema foi reportado pelos pesquisadores de segurança MEOW, f7d8c52bec79e42795cf15888b85cbad e Markus Wulftange, da CODE WHITE GmbH. Segundo a Microsoft, servidores Windows sem o papel WSUS ativado não são impactados.

Como o ataque ocorre

A brecha resulta de desserialização de dados não confiáveis. Um invasor sem autenticação pode enviar um evento manipulado que leva o WSUS a desserializar objetos AuthorizationCookie usando AES-128-CBC e BinaryFormatter sem validação de tipo, obtendo execução de código com privilégios SYSTEM, explicou o pesquisador Batuhan Er, da HawkTrace.

A própria Microsoft já havia recomendado evitar o uso do BinaryFormatter; o recurso foi removido do .NET 9 em agosto de 2024.

Versões corrigidas

Receberam a atualização fora de banda:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2022, edição 23H2 (Server Core)
  • Windows Server 2025

Após aplicar o patch, é necessário reiniciar o sistema para concluir a correção.

Alternativas temporárias

Para quem não pode instalar a atualização imediatamente, a Microsoft sugere:

Microsoft solta correção emergencial para falha crítica no WSUS já explorada por atacantes - Imagem do artigo

Imagem: Internet

  • Desabilitar o papel WSUS no servidor;
  • Bloquear tráfego de entrada nas portas 8530 e 8531 no firewall da máquina.

A empresa alerta que essas medidas não devem ser revertidas antes da aplicação do patch.

Exploração em andamento

O Centro Nacional de Segurança Cibernética dos Países Baixos (NCSC-NL) informou ter sido notificado pela Eye Security sobre uso ativo da falha em 24 de outubro de 2025. O ataque observou o envio de um payload Base64 que implanta um executável .NET; esse arquivo lê o cabeçalho de requisição “aaaa” e executa o conteúdo via cmd.exe.

Diante da divulgação de proof of concept pública e exploração confirmada, a Microsoft recomenda aplicar a correção o quanto antes.

Com informações de The Hacker News

Rolar para cima