Selon HawkTrace, une faille critique CVE-2025-59287 affecte Microsoft Windows Server Update Services (WSUS), permettant une exécution de code à distance non authentifiée avec privilèges SYSTEM via la désérialisation non sécurisée d’objets AuthorizationCookie.
⚠️ Impact principal: exécution de code à distance (RCE) non authentifiée conduisant à une compromission complète du système. Le problème réside dans le flux GetCookie() où des données de cookie chiffrées sont décryptées (AES-128-CBC) puis désérialisées via BinaryFormatter sans contrôle strict de type.
🔍 Détails techniques:
- Chaîne d’appel: Client.GetCookie() → ClientImplementation.GetCookie() → AuthorizationManager.GetCookie() → CrackAuthorizationCookie() → DecryptData().
- Dans DecryptData() (EncryptionHelper), le cookie est déchiffré avec AES-128-CBC utilisant une clé statique de 16 octets.
- Validation minimale: vérification de la divisibilité par InputBlockSize seulement avant déchiffrement.
- Après déchiffrement, si le type n’est pas UnencryptedCookieData, les données sont passées directement à BinaryFormatter.Deserialize() sans restriction de type, ouvrant la voie à des gadgets d’exécution.
🧪 Preuve de concept: un payload ysoserial est chiffré en AES avec IV nul et remplissage PKCS7, puis envoyé via une requête SOAP au point de terminaison GetCookie pour déclencher l’exécution.
🛠️ Mesures mentionnées dans l’article: appliquer immédiatement les correctifs de sécurité et envisager de remplacer BinaryFormatter par des mécanismes de sérialisation plus sûrs. Cet article est une publication de recherche visant à documenter la vulnérabilité et sa chaîne d’exploitation.
🔗 Source originale : https://hawktrace.com/blog/CVE-2025-59287
🖴 Archive : https://web.archive.org/web/20251019195208/https://hawktrace.com/blog/CVE-2025-59287