CVE-2025-59287

Nome do Software Vulnerável e Versões Afetadas Microsoft Windows Server Update Services (WSUS) versões anteriores às atualizações de segurança de outubro de 2025.

Descrição Uma vulnerabilidade crítica de execução remota de código (RCE) existe no Windows Server Update Services (WSUS) devido à desserialização insegura de dados não confiáveis. Isso permite que atacantes não autenticados executem código arbitrário com privilégios de sistema. A vulnerabilidade, identificada como CVE-2025-59287, tem sido ativamente explorada no ambiente real, com atacantes utilizando ferramentas como PowerCat e certutil para implantar malware como ShadowPad e Skuld Stealer. A exploração envolve o envio de solicitações manipuladas ao serviço WSUS, potencialmente levando ao comprometimento total do sistema e roubo de dados. Múltiplos pesquisadores de segurança e a CISA confirmaram a exploração ativa e emitiram alertas. Atacantes foram observados utilizando várias técnicas, incluindo DLL sideloading e scripts PowerShell, para manter persistência e evadir detecção.

Recomendações Aplique as últimas atualizações de segurança lançadas pela Microsoft para o WSUS. Se a aplicação de correções não for possível imediatamente, restrinja o acesso ao servidor WSUS e bloqueie o tráfego de entrada nas portas 8530 e 8531. Monitore os logs do servidor WSUS em busca de atividade suspeita e indicadores de comprometimento.