آسیب‌پذیری CVE-2025-59287

معرفی اکسپلویت

  • پلتفرم آسیب‌پذیر: Windows Server Update Service (WSUS)
  • نسخه‌های آسیب‌پذیر: تمامی نسخه‌های windows server که سرویس WSUS در آن‌ها فعال است
  • نوع آسیب‌پذیری: Remote Code Execution (RCE)
  • نوع خطا: deserialization ناامن
  • درجه خطر(CVSSv3): حیاتی با امتیاز 9.8
  • تاریخ ارائه وصله امنیتی: ۱۴۰۴/۰۸/۰۱
  • وضعیت استفاده:‌ انتشار روال بهره‌برداری (POC)

توضیحات فنی

سرویس Windows Server Update Service (WSUS) (سرویس به‌روزرسانی ویندوز سرور) به مدیران فناوری اطلاعات اجازه می‌دهد به‌روزرسانی‌های موردنیاز را برای سیستم‌های تحت ویندوز شبکه مربوطه، مدیریت و توزیع کنند. کلاینت‌های WSUS از طریق شبکه با سرور WSUS ارتباط برقرار می‌کنند تا به‌روزرسانی‌ها را دریافت کرده و ایمن بمانند.

سرویس WSUS حاوی یک آسیب‌پذیری حیاتی با شناسه CVE-2025-59287 و امتیاز: 9.8 است. این آسیب‌پذیری ناشی از سریال‌زدایی ناامن درخواست‌های ارسالی برای سرور WSUS است و ارسال درخواست‌ دستکاری شده از سمت مهاجم، امکان اجرای کد از راه دور را برای او فراهم می‌سازد.

جزئیات آسیب‌پذیری

با استفاده از آسیب‌پذیری CVE-2025-59287 مهاجم با ارسال درخواست‌ دستکاری شده و حاوی پیلود، می‌تواند اجرای کد از راه دور با دسترسی SYSTEM را بر روی سرور WSUS هدف به دست آورده و در نهایت منجر به کنترل کامل سرور و حرکت جانبی در شبکه شود. این آسیب‌پذیری به دلیل وجود نقص امنیتی سریال‌زدایی غیر ایمن اشیاء AuthorizationCookie، در هنگام مدیریت داده‌های مربوط به درخواست‌های ارسالی برای سرور WSUS ایجاد شده است.

در تصویر ۱، اجرای یک نمونه POC مربوط به این آسیب‌پذیری قابل مشاهده است. این POC کدهای مخرب را در قالب یک درخواست HTTP که شامل پیلودهای باینری یا Base64 و حاوی دستوراتی که سبب اجرای برنامه calc.exe توسط پردازه WsusService.exe است، به سمت سرور WSUS می‌فرستد.

اجرای poc برای آسیب‌پذیری CVE-2025-59287
تصویر ۱ – بهره‌برداری از آسیب‌پذیری و اجرای فایل دلخواه

❌ علائم عملی آلودگی به واسطه این آسیب‌پذیری شامل موارد زیر است:

  • درخواست‌های HTTP دریافتی حاوی پیلودهای Base64 طولانی
  • اجرای پردازه‌ powershell.exe یا cmd.exe به وسیله پردازه‌ wsusservice.exe و یا w3wp.exe
  • ترافیک خروجی مشکوک در سرور WSUS

پس از اکسپلویت موفق از آسیب‌پذیری، در هنگام دسترسی به سرویس WSUS خطایی نمایش داده می‌شود و همین‌طور با هر بار شروع این سرویس (در بخش Update Services با کلیک بر روی گزینه Reset Server Node و به طور کلی اجرای دوباره سرویس)، دستورات مخرب مجدد اجرا خواهند شد.

این موارد از علائم بقا پس از حمله است که در تصویر ۲ قابل مشاهده است.

علائم بقا مربوط به POC

تصویر ۲- علائم بقا مربوط به POC

با توجه به بررسی‌های انجام شده مشخص شد که محتوای مخرب به صورت رمز شده در یکی از جدول‌های مربوط به پایگاه داده WSUS قرار می‌گیرد که این امر باعث می‌شود این دستورات مخرب با هر بار اجرای سرویس WSUS توسط این سرویس از پایگاه داده دریافت شده، سریال‌زدایی شوند و در نهایت اجرا شوند. این محتوای مخرب در جدول EventInstance و ستون MiscData ثبت می‌شود.

بخشی از محتوای آلوده در پایگاه داده SUSDB

تصویر ۳ – بخشی از محتوای آلوده در پایگاه داده SUSDB

بنابراین، آسیب‌پذیری مذکور بسیار خطرناک است به این دلیل که افزون بر اجرای دستورات مهاجم به طور مستقیم و از طریق شبکه، می‌تواند سبب ایجاد بقا در پایگاه داده سرور شود.

نحوه وصله آسیب‌پذیری

✅ بهترین راهکار جهت رفع آسیب‌پذیری CVE-2025-59287 در سرویس Windows Server Update Services (WSUS)، نصب وصله (Patch) امنیتی رسمی مایکروسافت برای این آسیب‌پذیری است:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

✅ به منظور مقابله با تهدیدات احتمالی و جهت حصول اطمینان از امنیت سیستم خود توصیه می‌شود ضمن نصب آنتی‌ویروس پادویش، بلافاصله اقدام‌های کاهش‌دهنده خطر انجام شود که شامل موارد زیر است:

  • در صورت آلوده شدن سرور WSUS، پایگاه داده WSUS پاکسازی شود، زیرا با نصب وصله از آلودگی‌های آتی جلوگیری خواهد شد و برای آلودگی‌های قبلی اقدامی توسط وصله امنیتی انجام نمی‌شود.
  • محدودسازی آی‌پی‌های مجاز جهت دسترسی به سرور WSUS ، با استفاده از مولفه دیوار آتش آنتی‌ویروس پادویش
  • در نظر گرفتن تقسیم‌بندی شبکه برای محدودسازی امکان دسترسی به سرور آسیب‌پذیر
  • مانیتور کردن الگوهای ترافیکی غیر عادی

  مقاله برای 0 نفر مفید بود.