Szerző: Boros Balázs

A Windows Server Update Services (WSUS) komponensben azonosított kritikus, hitelesítés nélküli távoli kódfuttatási sérülékenység (CVE-2025-59287, CVSS 9.8) a patch menedzsmentért felelős, core vállalati infrastruktúra elemet érinti. A Microsoft Patch Tuesday frissítése nem nyújtott teljes védelmet, ezért okt. 23-án rendkívüli (out-of-band) javítás jelent meg. A sérülékenységet órákon belül aktívan kihasználták, másnap pedig a CISA a KEV listára emelte, ami azt jelenti, hogy azonnali beavatkozást igényel és bizonyítottan kihasznált hiba.

Részletes technikai háttér és észlelési minták: Palo Alto Networks - Unit 42 elemzés.

Miért kiemelten veszélyes?

Hitelesítés nélküli RCE, tehát a támadó rendszerszintű jogosultsággal futtathat kódot az érintett WSUS szerveren.

Ellátási láncra is hatással van, mert a WSUS megbízható frissítési forrás. Kompromittálása széleskörű laterális mozgást és széleskörű kompromittálást alapozhat meg.

Aktívan kihasználták, tömeges szkennelés és kezdeti felderítés már megfigyelhető volt a publikálást követően.

Technikai részletek röviden

A probléma lényege, hogy a WSUS egyes kéréseket „megbízhatónak” néz és így olyan adatokat is végrehajthat, amelyeket nem lenne szabad. Ezt két irányból is ki tudják használni a támadók:

  • Sütikezelés (GetCookie): speciálisan összeállított kérésre a szerver rosszul dolgozza fel a sütit és kártékony kód futását engedheti.
  • Jelentéskészítő szolgáltatás (ReportingWebService): hasonló trükkel itt is elérhető, hogy a szerver olyan műveleteket hajtson végre, amit a támadó diktál.

Ha a kihasználás sikeres, jellemzően parancssori folyamatok indulnak a WSUS-ból vagy az IIS-ből, amelyekkel a támadó először felderíti a környezetet, majd megpróbál adatot kivinni. A begyűjtött információkat egy távoli végpontra küldhetik (például webhookon keresztül).

Jellemző folyamatláncok:

  • wsusservice.exe → cmd.exe → powershell.exe
  • w3wp.exe → cmd.exe → powershell.exe

Gyakori felderítő parancsok:

  • whoami,
  • net user /domain,
  • ipconfig /all

Érintett rendszerek: Windows Server 2012, 2012 R2, 2016, 2019, 2022 (23H2), 2025. A sebezhetőség feltétele, hogy a WSUS Server Role engedélyezett legyen (alapértelmezetten nincs bekapcsolva).

Sürgős teendők (összefoglaló)

  • Érintett szerverek azonosítása: ellenőrizd, hogy a WSUS szerepkör be van-e kapcsolva (Get-WindowsFeature -Name UpdateServices), és hogy a 8530/8531 TCP portok nyitva vannak-e.
  • Out-of-band frissítés telepítése minden érintett szerverre, majd újraindítás.
  • Ideiglenes kockázatcsökkentés (ha a patch azonnal nem lehetséges):

    - WSUS szerepkör letiltása

    - Bejövő forgalom blokkolása a 8530/8531 portokra a host tűzfalán

  • Hozzáférés szegmentáció: a WSUS ne legyen közvetlenül internet-felől elérhető.
  • Threat hunting és naplóelemzés: gyanús cmd.exe/powershell.exe gyermekfolyamatok a WSUS szolgáltatásból vagy az IIS w3wp.exe-ből kimenő kapcsolatok vizsgálata.

Palo Alto Networks védelem

A Unit 42 szerint a Palo Alto Networks megoldásai több rétegben segítik a megelőzést és a gyors reagálást:

  • Advanced Threat Prevention: a Next-Generation Firewall Advanced Threat Prevention előfizetéssel a legjobb gyakorlatok szerint blokkolhatók a támadások, releváns szignatúrák: 96657 és 96684.
  • Cortex XDR és XSIAM: többrétegű védelem a post-exploitation aktivitások ellen.
  • Cortex válaszcsomag és playbook (WSUS RCE): automatizált műveletek a gyors mitigációért:

1. WSUS hostok azonosítása és ujjlenyomatozása XQL lekérdezéssel

2. Indikátorok begyűjtése a Unit 42 cikkből

3. Gyanús parancssorok észlelése XQL-lel (kihasználásra utaló minták)

4. Parancssorok vizsgálata és kapcsolódó rosszindulatú indikátorok azonosítása

5. Vadászat (threat hunting) XQL-lel

6. Kompromittált WSUS szerverek izolálása

7. Indikátorok blokkolása és mitigációs javaslatok kiadása