Selon Picus Security, Microsoft a publié un correctif hors bande pour CVE-2025-59287, une vulnérabilité critique d’exécution de code à distance affectant Windows Server Update Services (WSUS), déjà exploitée dans la nature.

  • Nature de la faille: désérialisation .NET non sécurisée dans la méthode Microsoft.UpdateServices.Internal.Authorization.EncryptionHelper.DecryptData() qui appelle BinaryFormatter.Deserialize() sur des données d’AuthorizationCookie contrôlables par l’utilisateur, sans validation de type.
  • Impact: RCE avec privilèges SYSTEM de manière non authentifiée via des requêtes SOAP malveillantes envoyées aux services web de reporting WSUS.
  • Produits/Composants concernés: WSUS (ports par défaut 8530/8531), endpoint /ClientWebService/Client.asmx (méthode GetCookie).

Technique d’exploitation (résumé) 🚨:

  • L’attaquant envoie une requête SOAP contenant une chaîne de gadgets encodée en Base64, chiffrée AES-128-CBC.
  • Après déchiffrement avec des clés en dur, BinaryFormatter désérialise la charge utile, déclenchant l’exécution de code.
  • Chaîne de processus observée: wsusservice.exe / w3wp.exe → cmd.exe → powershell.exe, utilisée pour l’énumération et l’exfiltration de données.

Détection et indices 🔎:

  • Surveiller des POST suspects vers l’endpoint, des champs CookieData anormalement volumineux et des processus enfants inattendus (cmd/powershell lancés par w3wp.exe/wsusservice.exe).
  • Les acteurs menacent ciblent les ports 8530/8531 par défaut.

IOCs et TTPs:

  • Points réseau/chemins: http(s)://<serveur-WSUS>:8530/8531/ClientWebService/Client.asmx (méthode GetCookie).
  • Processus: w3wp.exe, wsusservice.exe, cmd.exe, powershell.exe.
  • Artefacts requêtes: POST SOAP, CookieData volumineux, charge Base64 chiffrée AES-128-CBC.
  • TTPs: Désérialisation .NET (BinaryFormatter) abusive, RCE non authentifiée, exécution de scripts PowerShell pour énumération/exfiltration.

Conclusion: Article de type patch de sécurité visant à informer sur une vulnérabilité critique activement exploitée dans WSUS et l’existence d’une mise à jour hors bande.

🔗 Source originale : https://www.picussecurity.com/resource/blog/cve-2025-59287-explained-wsus-unauthenticated-rce-vulnerability

🖴 Archive : https://web.archive.org/web/20251026113103/https://www.picussecurity.com/resource/blog/cve-2025-59287-explained-wsus-unauthenticated-rce-vulnerability