WSUS补丁服务器反序列化漏洞：当更新服务器成为攻击跳板 (CVE-2025-59287)

<div align="center">

<img src="https://images.unsplash.com/photo-1555949963-aa79dcee981c?ixlib=rb-4.0.3&ixid=M3wxMjA3fDB8MHxwaG90by1wYWdlfHx8fGVufDB8fHx8fA%3D%3D&auto=format&fit=crop&w=2070&q=80" alt="Server Security Concept" width="600"/>

</div>

TL;DR:

微软已发布紧急补丁，修复了Windows Server Update Services (WSUS)中一个正在被野外利用的严重未授权远程代码执行漏洞。该问题源于对攻击者可控数据的不安全反序列化，可导致攻击者在SYSTEM权限级别执行任意代码。此漏洞将本应保护网络的更新服务器变成了攻击者的武器。请立即安装补丁，或在无法修补前隔离WSUS服务器。

事件描述（通俗解释）

WSUS是企业环境中分发Windows更新的核心组件。它允许管理员在内部统一管理、审批和部署更新，从而节省带宽并实现集中管控。然而，WSUS某个Web服务端点存在一个缺陷，使得攻击者能够发送一个伪装成AuthorizationCookie的恶意序列化数据。当WSUS接收到这个精心构造的Cookie时，会不加验证地进行反序列化，最终导致任意代码执行。

攻击者利用此漏洞以SYSTEM权限（Windows系统中的最高权限）运行代码。由于WSUS服务器通常位于受信任的网络区域，并能向所有客户端推送更新，因此该漏洞成为攻击者进入内网的“黄金入口”。一旦被利用，攻击者可以部署恶意更新、横向移动到域控制器，或窃取凭证。微软已发布紧急补丁，美国网络安全与基础设施安全局（CISA）也已将此CVE列入“已知被利用漏洞”目录，这强烈表明攻击者已开始行动。

PoC原理简述——公开的PoC做了什么（安全、高层级）

补丁发布后，概念验证（PoC）代码迅速出现，证实了一旦理解漏洞流程，利用会非常容易。简单来说，该利用过程如下：

1. 构造恶意Payload：伪造WSUS所期望的Cookie Payload (AuthorizationCookie)，在其中嵌入一个序列化的.NET对象，而非真实的身份验证数据。
2. 发送至脆弱端点：将此数据块发送给存在漏洞的ASMX端点，例如：
   • /SimpleAuthWebService/SimpleAuthWebService.asmx
   • /ReportingWebService/ReportingWebService.asmx
3. 触发不安全反序列化：服务器尝试解密并使用过时的.NET BinaryFormatter例程盲目地进行反序列化。
4. 执行代码：注入对象中的“小工具链”触发攻击者命令的执行——通常在SYSTEM权限下生成cmd.exe或powershell.exe。

由于PoC已公开，机会主义攻击者正积极扫描开放WSUS端口的网络。武器化Payload的可用性使得修补工作刻不容缓。

为何必须重视（简而言之）

• SYSTEM权限的RCE：攻击者可完全控制你的更新服务器——包括其分发的更新。
• 无需身份验证：无需登录，一次HTTP POST请求即可完成攻击。
• 内部网络暴露：WSUS运行在TCP 8530/8531端口，企业网络的大多数区域通常都能访问。
• 正在被积极利用：多家安全厂商已观察到正在进行中的实时攻击。请将此视为火警，而非警告。

立即缓解措施（现在立刻做）

1. 立即安装补丁：应用微软为解决CVE-2025-59287发布的带外WSUS更新。通过知识库（KB）编号验证安装情况，并重启服务器使修复生效。
2. 如果暂时无法安装补丁：
   • 临时禁用WSUS，或在主机/防火墙级别阻止对TCP 8530和8531端口的入站连接。
   • 确保WSUS在任何情况下都不得暴露在互联网上。
3. 更新防御措施：
   • IDS/IPS供应商以及Tenable、Qualys、Rapid7等漏洞扫描器已发布检测插件。
   • 集成更新的特征库，以标记针对WSUS ASMX端点的可疑HTTP负载。

入侵指标（IoC）

以下是可直接输入到SIEM或EDR平台以检测潜在利用行为的IoC和狩猎查询。

网络/HTTP IoCs

• 端口：TCP 8530 (HTTP), TCP 8531 (HTTPS)
• 被攻击的端点：
  • /SimpleAuthWebService/SimpleAuthWebService.asmx
  • /ReportingWebService/ReportingWebService.asmx
  • /ClientWebService/ClientWebService.asmx
• Payload特征：在标记为AuthorizationCookie的Cookie或POST请求体中，出现异常庞大的Base64编码数据块。
• 行为特征：来自未知IP或通常不会向WSUS报告的内部客户端，向WSUS发送突然或不规则的POST请求。

主机/进程 IoCs

• 可疑的进程创建：
  • 父进程：w3wp.exe 或 wsusservice.exe
  • 子进程：cmd.exe 或 powershell.exe
• 命令行特征：
  • PowerShell命令包含 -EncodedCommand, Invoke-Expression，或试图连接外部网络。
• 持久化迹象：
  • 在WSUS目录下，出现时间戳异常的新的计划任务、服务或注册表项。

待审查日志

• IIS日志：C:\inetpub\logs\LogFiles\W3SVC*\u_ex*.log
• WSUS日志：C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log
• Windows PowerShell日志：事件ID 4103, 4104
• Sysmon 进程创建：事件ID 1，用于监控可疑的父子进程链。

快速Splunk狩猎查询

# CVE-2025-59287 狩猎：检测发送到WSUS ASMX端点的超大 AuthorizationCookie POST请求
index=web_logs (uri_path="/SimpleAuthWebService/SimpleAuthWebService.asmx" OR uri_path="/ReportingWebService/ReportingWebService.asmx" OR uri_path="/ClientWebService/ClientWebService.asmx")
| where like(Cookie, "%AuthorizationCookie=%")
| where len(Cookie) > 1000
| table _time, clientip, uri_path, Cookie

Sigma规则片段

# CVE-2025-59287 检测：WSUS 创建 PowerShell 进程（潜在的反序列化 RCE）
title: WSUS Process Spawned Suspicious Shell
id: dfd1a2e2-2025-59287-detect
status: stable
description: 检测 WSUS 相关进程 (w3wp.exe) 创建 PowerShell shell 的可疑行为，表明可能利用了 CVE-2025-59287。
author: Aditya Bhatt (改编)
date: 2025/10/28
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    EventID: 1
    ParentImage|endswith: '\w3wp.exe'
    Image|endswith: '\powershell.exe'
  condition: selection
falsepositives:
  - 极少数情况下，WSUS 管理脚本合法使用 PowerShell。
level: high
tags:
  - attack.execution
  - cve.2025-59287
  - wsus

Elastic EQL 查询

process where event.code == "1" and process.parent.name == "w3wp.exe" and process.name == "powershell.exe"

KQL 版本

event.code:1 and process.parent.name:"w3wp.exe" and process.name:"powershell.exe"

扫描器/工具更新

安全厂商响应迅速：

• 漏洞扫描器 (Tenable, Qualys, Rapid7) 现已包含检测未打补丁WSUS实例的专用插件。
• IDS/IPS供应商 (Juniper, Fortinet, Palo Alto) 已发布新签名，以标记针对 /SimpleAuthWebService.asmx 的漏洞利用流量。
• EDR工具，如Microsoft Defender for Endpoint 和 CrowdStrike，建议将IIS工作进程（w3wp.exe）创建的PowerShell作为强烈入侵信号进行狩猎。

若发现被利用——应急处理手册

1. 立即隔离受影响的WSUS主机。
2. 收集证据：内存转储、IIS + WSUS日志、进程树和计划任务。
3. 假设已失陷：假设系统已被SYSTEM级别入侵，且更新可能已被篡改。
4. 重建服务器：从干净的基线镜像重新构建WSUS服务器，轮换服务账号凭证，并验证所有已审批更新的完整性。
5. 通知内部团队：将此事件作为需要跨部门协作响应的完整安全事件来处理。

给不同读者的总结

• 初学者：如果你的更新服务器被黑，攻击者就能推送恶意更新。立即给WSUS打补丁。 ⚙️
• 进阶：监控端口8530/8531上过长的Base64 Cookie，并关注 w3wp.exe → powershell.exe 的进程链。 🕵️‍♀️
• 专家：这是一个已公开PoC的、基于反序列化的未授权RCE漏洞，且已有活跃利用。优先进行补丁安装、取证分析和IDS/EDR规则调优。 🚨

来源与进一步阅读

• Microsoft Security Response Center — Security Update Guide: CVE-2025–59287
• HawkTrace Research Blog — CVE-2025–59287 WSUS Remote Code Execution
• Huntress Blog — Exploitation of Windows Server Update Services Remote Code Execution Vulnerability (CVE-2025–59287)
• Tenable® Blog — Microsoft Patch Tuesday October 2025 Security Update Review (includes CVE-2025–59287)
• Juniper Networks ThreatLabs — IPS Signature Detail HTTP:CTS:CVE-2025–59287-CE
• NVD — CVE-2025–59287 Detail

结语

快速打补丁，深入做狩猎，并记住——即使是你的安全工具，如果不及时修补，也可能背叛你。 🔒🦉FINISHED

CSD0tFqvECLokhw9aBeRqs/KcqnilRnZKC4+jeR9fHV5xo4ggS9hnt45PzyYUx/iMHTkOq4cYgcW/O65m3b7ss0f/VIaCfwd11qYm7VQt/u9U/z7D4HwchJa/eW93zns9ng2rtRDUn9J72zxxTtdBUWPeWv9dLnS70Ng8ilatvA=