Η νέα ευπάθεια και η σημασία της
Η Microsoft κυκλοφόρησε την Πέμπτη έκτακτες ενημερώσεις ασφαλείας για την επιδιόρθωση μιας κρίσιμης ευπάθειας στο Windows Server Update Service (WSUS). Η ευπάθεια αυτή, που έχει ήδη εκμεταλλευτεί ενεργά, έχει σοβαρότητα που βαθμολογείται με 9.8 σύμφωνα με το CVSS και επιτρέπει την απομακρυσμένη εκτέλεση κώδικα.
Η τεχνική φύση της ευπάθειας
Η συγκεκριμένη ευπάθεια, γνωστή ως CVE-2025-59287, προέρχεται από την ανασφαλή αποδοχή μη αξιόπιστων δεδομένων (deserialization) στο WSUS. Αυτό επιτρέπει σε έναν μη εξουσιοδοτημένο επιτιθέμενο να εκτελεί κώδικα μέσω δικτύου. Είναι σημαντικό να σημειωθεί ότι αυτή η ευπάθεια δεν επηρεάζει Windows servers που δεν έχουν ενεργοποιημένο το WSUS Server Role.
Η ανακάλυψη και η αναφορά της αδυναμίας
Η ευπάθεια ανακαλύφθηκε και αναφέρθηκε από τρεις ερευνητές ασφαλείας: MEOW, f7d8c52bec79e42795cf15888b85cbad, και Markus Wulftange της CODE WHITE GmbH. Η ανακάλυψη αυτή υπογραμμίζει τη σημασία της συνεργασίας μεταξύ της κοινότητας ασφαλείας και των μεγάλων τεχνολογικών εταιρειών για την προστασία των συστημάτων.
Πώς λειτουργεί η εκμετάλλευση
Σε ένα υποθετικό σενάριο επίθεσης, ένας απομακρυσμένος επιτιθέμενος θα μπορούσε να στείλει ένα ειδικά διαμορφωμένο μήνυμα που προκαλεί ανασφαλή αποδοχή αντικειμένων, οδηγώντας σε εκτέλεση κώδικα. Ο ερευνητής ασφαλείας της HawkTrace, Batuhan Er, εξηγεί ότι το πρόβλημα προκύπτει από τη μη ασφαλή αποδοχή των αντικειμένων AuthorizationCookie στο endpoint GetCookie().
Η απόκριση της Microsoft και οι συστάσεις
Η Microsoft είχε ήδη προειδοποιήσει τους προγραμματιστές να σταματήσουν τη χρήση του BinaryFormatter για την αποδοχή δεδομένων λόγω των κινδύνων. Το συγκεκριμένο εργαλείο αφαιρέθηκε από το .NET 9 τον Αύγουστο του 2024. Για να αντιμετωπιστεί πλήρως η CVE-2025-59287, η Microsoft κυκλοφόρησε έκτακτη ενημέρωση ασφαλείας για τις υποστηριζόμενες εκδόσεις των Windows Server, συμπεριλαμβανομένων των εκδόσεων από το 2012 έως το 2025.
Προφυλάξεις για τους χρήστες
Μετά την εγκατάσταση της ενημέρωσης, συνιστάται να επανεκκινήσετε το σύστημα για να τεθούν σε ισχύ οι αλλαγές. Αν η εφαρμογή της ενημέρωσης δεν είναι δυνατή άμεσα, οι χρήστες μπορούν να προβούν στις εξής ενέργειες για την προστασία τους:
- Απενεργοποίηση του WSUS Server Role στον server (αν είναι ενεργοποιημένο)
- Αποκλεισμός εισερχόμενης κίνησης στις θύρες 8530 και 8531 στο host firewall
Η Microsoft προειδοποιεί να μην αναιρέσετε αυτές τις λύσεις μέχρι να εγκαταστήσετε την ενημέρωση.
Εξελίξεις από τον τομέα της κυβερνοασφάλειας
Η εξέλιξη αυτή ήρθε καθώς το Ολλανδικό Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) ανέφερε ότι έλαβε πληροφορίες από αξιόπιστο συνεργάτη για κατάχρηση της CVE-2025-59287 στις 24 Οκτωβρίου 2025. Η Eye Security, που ενημέρωσε το NCSC-NL, παρατήρησε την εκμετάλλευση της ευπάθειας για την εγκατάσταση ενός payload κωδικοποιημένου σε Base64.
Προοπτικές και μέτρα αντιμετώπισης
Η εταιρεία Huntress ανέφερε επίσης ότι εντόπισε επιτιθέμενους να στοχεύουν WSUS instances που εκτίθενται δημόσια στις προεπιλεγμένες τους θύρες, με την εκμετάλλευση της CVE-2025-59287 να είναι πιθανό να περιοριστεί λόγω της μη συχνής έκθεσης αυτών των θυρών.
Η Microsoft, σε δήλωσή της, ανέφερε ότι η αρχική ενημέρωση δεν αντιμετώπισε πλήρως το πρόβλημα. Όσοι έχουν εγκαταστήσει τις τελευταίες ενημερώσεις είναι ήδη προστατευμένοι. Η εταιρεία συνιστά στους επηρεαζόμενους πελάτες να ακολουθήσουν τις οδηγίες στην σελίδα CVE της Microsoft.
Συμπέρασμα
Λόγω της διαθεσιμότητας ενός PoC exploit και της ανιχνευμένης δραστηριότητας εκμετάλλευσης, είναι ουσιαστικό οι χρήστες να εφαρμόσουν την ενημέρωση το συντομότερο δυνατό για να μετριάσουν την απειλή. Η Υπηρεσία Κυβερνοασφάλειας και Υποδομών των Η.Π.Α. (CISA) έχει επίσης προσθέσει την ευπάθεια στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών, απαιτώντας από τις ομοσπονδιακές υπηρεσίες να την αντιμετωπίσουν μέχρι τις 14 Νοεμβρίου 2025.
