Vulnérabilité WSUS (CVE-2025-59287) : Microsoft publie des correctifs hors-bande après des attaques actives

Résumé

Jeudi dernier, Microsoft a publié une nouvelle série de correctifs hors-bande pour corriger de manière exhaustive une vulnérabilité critique du service Windows Server Update Services (WSUS), après que les correctifs initiaux du 14 octobre se sont avérés incomplets. La faille, référencée CVE-2025-59287, permet l’exécution de code à distance avec des privilèges System via une désérialisation non sécurisée d’un objet AuthorizationCookie.

Détails de la vulnérabilité et portée

WSUS est largement utilisé en entreprise pour déployer et contrôler les mises à jour Microsoft sur des parcs Windows. Le service n’est pas activé par défaut, mais il peut l’être en ajoutant le rôle serveur WSUS. CVE-2025-59287 résulte d’une désérialisation non sécurisée dans le composant AuthorizationCookie de WSUS. Une exploitation réussie donne la possibilité d’exécuter du code à distance avec les privilèges System, représentant un risque critique pour les environnements exposés.

Versions concernées

• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2022 (édition 23H2, Server Core)
• Windows Server 2025

Correctifs et recommandations

Microsoft avait inclus un correctif lors du Patch Tuesday du 14 octobre, mais ce correctif initial s’est avéré incomplet. L’éditeur a donc publié des mises à jour supplémentaires ciblant les éditions listées ci-dessus. Selon l’avis le plus récent, les entreprises doivent déployer ces correctifs dès que possible.

En attendant l’application des correctifs, deux mesures de contournement sont possibles, mais elles rendent le service WSUS inopérant :

• Désactiver le rôle de serveur WSUS sur les machines concernées.
• Bloquer le trafic entrant vers les ports TCP 8530 et 8531 (ports WSUS par défaut).

Exploitation observée dans la nature

Bien que l’avis officiel de Microsoft n’ait pas initialement mentionné d’exploitation en production, des équipes extérieures ont rapporté des attaques. Huntress et le Centre national de cybersécurité néerlandais (NCSC) ont signalé des preuves d’exploitation après la publication, la semaine précédente, d’une analyse détaillée et d’un exploit de preuve de concept par la société HawkTrace.

Huntress a indiqué avoir observé, à partir du 23 octobre 2025 à 23:34 UTC, des acteurs malveillants ciblant des instances WSUS exposées publiquement sur leurs ports par défaut (8530/TCP et 8531/TCP). Les attaquants ont envoyé des requêtes POST spécialement conçues vers les services web WSUS pour déclencher la désérialisation et obtenir une exécution de code à distance.

Les auteurs de l’attaque ont exécuté des commandes via des invites de commande et des sessions PowerShell lancées par le processus WSUS. Une charge utile encodée en base64 a été chargée et exécutée, utilisée pour découvrir des serveurs sur le réseau et collecter des informations sur les utilisateurs, puis renvoyée vers une URL contrôlée par l’attaquant.

Indicateurs et ressources pour la détection

Le rapport de Huntress contient des indicateurs de compromission (IoC), des artefacts médico-légaux et des règles de détection au format Sigma SIEM pour aider les équipes de sécurité à identifier les compromissions. Les organisations exploitant WSUS doivent :

• Déployer immédiatement les correctifs publiés par Microsoft.
• Appliquer les mesures de contournement si un patch ne peut pas être installé rapidement.
• Auditer les connexions réseau vers les ports 8530/8531 et rechercher des requêtes POST anormales vers WSUS.
• Consulter les IoC et règles Sigma fournis par les chercheurs pour affiner la détection et l’investigation.

Rester à jour sur les avis des éditeurs et partager les informations de détection entre équipes de sécurité est essentiel pour limiter l’impact de ce type d’exploitation.