Windows Server

Source: Huntress — Le billet détaille l’exploitation active de la vulnérabilité CVE-2025-59287 dans Windows Server Update Services (WSUS), une exécution de code à distance (RCE) via désérialisation de l’AuthorizationCookie, observée dès 2025-10-23 23:34 UTC. Microsoft a publié un correctif hors cycle le 23 octobre, et Huntress a constaté des attaques chez quatre clients. Produits/portée: WSUS exposé publiquement sur les ports par défaut 8530/TCP (HTTP) et 8531/TCP (HTTPS). Vulnérabilité: Désérialisation sur l’AuthorizationCookie menant à RCE (CVE-2025-59287). Un billet de Hawktrace fournit un PoC. Impact observé: Environ 25 hôtes susceptibles dans la base de partenaires de Huntress; exploitation attendue comme limitée car WSUS est rarement exposé. 🛠️ Comportements et chaîne d’exécution observés: ...

Selon ESET (billet de recherche), des chercheurs ont documenté un nouvel acteur baptisé GhostRedirector, actif depuis au moins août 2024, qui a compromis au moins 65 serveurs Windows (principalement au Brésil, en Thaïlande et au Vietnam). L’arsenal inclut une backdoor C++ passive (Rungan) et un module IIS natif malveillant (Gamshen) orienté fraude SEO. • Victimologie et chronologie 🔎 Période observée: décembre 2024–avril 2025 (télémétrie ESET), scan internet en juin 2025. Victimes: diverses verticales (assurance, santé, retail, transport, technologie, éducation). Géos principales: Brésil, Thaïlande, Vietnam; cas additionnels au Pérou, USA, Canada, Finlande, Inde, Pays-Bas, Philippines, Singapour. Attribution: alignement Chine (confiance moyenne) (chaînes codées en chinois, certificat de signature d’une société chinoise, mot de passe contenant « huang »). • Chaîne d’intrusion et persistance ...