یک PoC (Proof of Concept) اکسپلویت برای یک آسیبپذیری بحرانی در سرویس Windows Server Update Services (WSUS) منتشر شده که به مهاجم بدون احراز هویت امکان اجرای کد دلخواه با سطح دسترسی SYSTEM روی سرورهای آسیبپذیر را میدهد.
خلاصه خبر
شناسه آسیبپذیری: CVE-2025-59287؛ امتیاز CVSSv3: 9.8 (Critical).
ریشه مشکل: ضعف در deserialization دادههای غیرقابلاعتماد در بخشی از WSUS (مربوط به AuthorizationCookie) که میتواند منجر به اجرای کد از راه دور شود.
وضعیت وصلهگذاری: مایکروسافت این نقص را در بسته بهروزرسانیهای Patch Tuesday اکتبر ۲۰۲۵ اصلاح کرده است — ادمینها باید هرچه سریعتر وصلهها را اعمال کنند.
چرا این خطرناک است؟
WSUS در بسیاری از سازمانها بهعنوان هاب توزیع بهروزرسانی عمل میکند؛ دسترسی کامل (SYSTEM) به سرور WSUS میتواند به مهاجم امکان دهد نهتنها سرور را در اختیار بگیرد، بلکه زنجیره توزیع بهروزرسانی را نیز بهخطر بیندازد و بهصورت بالقوه بهروزرسانیهای مخرب را به کل شبکه سازمانی پخش کند. این ترکیب از فراگیر بودن سرویس و امتیاز سطح بالا، بحرانزا است.
توصیههای فوری (بدون ذکر جزئیات اکسپلویت)
همین امروز وصلهها را نصب کنید. ادمینهای WSUS باید بهسرعت آپدیتهای مایکروسافت را روی سرورهای WSUS اعمال کنند.
دسترسی شبکهای به WSUS را محدود کنید. فقط مدیریت از شبکههای مورد اعتماد و سرویسهای لازم حق دسترسی داشته باشند (فایروال، ACL).
مانیتور و لاگگیری را تشدید کنید. بررسی لاگهای Authentication/Authorization، ایجاد هشدار برای رفتارهای غیرعادی و علامتگذاری تغییرات غیرمنتظره در سرویسها.
در صورت امکان سرویس را ایزوله یا غیرفعال موقت کنید تا زمانی که وصلهها اعمال شود (اگر سیاست کسبوکار اجازه دهد)
برنامه پاسخ حادثه را آماده داشته باشید. سناریوهایی شامل شناسایی نشانههای تسلط مهاجم بر WSUS و واکنش برای پاکسازی/بازگردانی امن.
هشدار درباره محتوای PoC
اگرچه PoC منتشر شده است، انتشار یا استفاده از اکسپلویتها برای حمله یا امتحان روی سیستمهای غیرمجاز غیرقانونی و غیراخلاقی است. سازمانها و محققان باید از PoC تنها در محیطهای آزمایشی کنترلشده و برای تحلیل و توسعه اصلاحیات دفاعی استفاده کنند؛ و هرگونه اقدامات فنی برای محافظت باید از منابع رسمی و مشورت با تیمهای امنیتی پیروی کند.
