Source: Huntress — Le billet détaille l’exploitation active de la vulnérabilité CVE-2025-59287 dans Windows Server Update Services (WSUS), une exécution de code à distance (RCE) via désérialisation de l’AuthorizationCookie, observée dès 2025-10-23 23:34 UTC. Microsoft a publié un correctif hors cycle le 23 octobre, et Huntress a constaté des attaques chez quatre clients.

  • Produits/portée: WSUS exposé publiquement sur les ports par défaut 8530/TCP (HTTP) et 8531/TCP (HTTPS).
  • Vulnérabilité: Désérialisation sur l’AuthorizationCookie menant à RCE (CVE-2025-59287). Un billet de Hawktrace fournit un PoC.
  • Impact observé: Environ 25 hôtes susceptibles dans la base de partenaires de Huntress; exploitation attendue comme limitée car WSUS est rarement exposé.

🛠️ Comportements et chaîne d’exécution observés:

  • Des alertes montrent que cmd.exe et powershell.exe sont lancés par les processus parents/grands-parents w3wp.exe et wsusservice.exe.
  • Un payload PowerShell encodé en base64 exécute des commandes d’énumération (p. ex. net user /domain, ipconfig /all) puis exfiltre la sortie vers un webhook (webhook.site) via Invoke-WebRequest ou curl.exe.
  • Les acteurs malveillants utilisent des réseaux de proxy pour mener l’exploitation.

🔎 IOCs et artefacts forensiques:

  • Journaux WSUS: C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log avec traces de pile liées à la désérialisation (p. ex. System.Data.DataSet.DeserializeDataSetSchema, System.Runtime.Serialization.ObjectManager).
  • Journaux IIS: C:\inetpub\logs\LogFiles\W3SVC*\u_ex*.log avec requêtes HTTP/HTTPS:
    • POST /ReportingWebService/ReportingWebService.asmx (get_server_id)
    • POST /SimpleAuthWebService/SimpleAuth.asmx (get_auth_cookie)
    • POST /ClientWebService/Client.asmx (get_reporting_cookie)
    • POST /ReportingWebService/ReportingWebService.asmx (send_malicious_event)
    • POST /ApiRemoting30/WebService.asmx
    • Entrées montrant ... - 8530 - <IPv4> Windows-Update-Agent - 200
  • Commandes d’énumération observées: whoami, net user /domain, ipconfig /all.
  • Processus clés: w3wp.exe, wsusservice.exe lançant cmd.exe puis powershell.exe.
  • Exfiltration: vers http://webhook.site/[REDACTED] via iwr ou curl.exe.

🧩 Détection et référence:

  • Règle Sigma fournie par Huntress (expérimentale) ciblant les enfants de wsusservice.exe et w3wp.exe (wsuspool) déclenchant cmd.exe.
  • Contexte correctif: mise à jour hors bande publiée par Microsoft le 23 octobre; Huntress recommande de l’appliquer au plus vite.
  • Référence PoC: billet Hawktrace « CVE-2025-59287 — WSUS Unauthenticated Remote Code Execution ».

Type: analyse de menace — informer sur une exploitation active de CVE-2025-59287, documenter TTPs/IOCs et fournir des éléments de détection.

🧠 TTPs et IOCs détectés

TTP

T1059.001 (PowerShell), T1059.003 (Command and Scripting Interpreter: Windows Command Shell), T1071.001 (Application Layer Protocol: Web Protocols), T1090 (Proxy), T1027 (Obfuscated Files or Information), T1005 (Data from Local System), T1041 (Exfiltration Over C2 Channel)

IOC

{‘domains’: [‘webhook.site’], ‘ips’: [’’], ‘files’: [‘C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log’, ‘C:\inetpub\logs\LogFiles\W3SVC*\u_ex*.log’], ‘processes’: [‘w3wp.exe’, ‘wsusservice.exe’, ‘cmd.exe’, ‘powershell.exe’], ‘urls’: [‘http://webhook.site/[REDACTED]’]}

🔗 Source originale : https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability