WSUS 高嚴重性漏洞 CVE-2025-59287 已遭利用，呼籲用戶儘速更新

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心Windows於2025年10月發布例行資安更新公告，揭露Windows Server Update Services (WSUS) 存在一個高嚴重性漏洞(CVE-2025-59287，CVSS：9.8)。 該漏洞允許未經身分驗證的遠端攻擊者，透過發送精心設計的請求觸發反序列化，導致在目標伺服器上以系統權限執行任意程式碼。 此漏洞僅影響啟用WSUS伺服器角色的Windows Server，預設情況下WSUS角色並未啟用。 美國網路安全與基礎設施安全局（CISA）已將CVE-2025-59287納入已知漏洞目錄(KEV)，並觀察該漏洞已被攻擊者積極利用。 荷蘭國家網路安全中心（NCSC-NL）亦發布警告，確認漏洞已遭實際利用，建議用戶儘速依循Windows官方建議，採取相關緩解措施，以防止系統遭入侵並造成重大損失。 資安業者Huntress發現攻擊者正在掃描對外開放WSUS連接埠（8530與8531），並向可連線的伺服器發送惡意請求。 攻擊過程中，攻擊者可能透過PowerShell解碼並執行惡意酬載，搜尋網路內所有伺服器與使用者資訊，並將竊取的資料傳送至遠端伺服器；同時還會利用代理伺服器混淆攻擊過程。 面對此重大資安威脅，建議企業和組織採取以下防護措施： 1. 依Mirosoft安全更新指南，確認受影響版本，並將對應的安全更新(Security Patches)儘速套用至所有 WSUS 伺服器。 2. 嚴格執行服務最小化原則：除非有明確業務需求，應停用 WSUS 伺服器角色或移除不必要的WSUS部署。 3. 邊界防禦：在主機與網路邊界防火牆上，阻止/阻擋 (Block) 連接埠8530和8531的所有外部入站流量。 4. 系統安全開發：建立安全的資料序列化機制與嚴格的類型驗證，以防範不受信任的反序列化攻擊。 5. 威脅偵測：持續監控並透過日誌分析工具分析 WSUS 相關的網路流量與系統日誌，以儘早檢測任何可疑行為。Windows於2025年10月發布例行資安更新公告，揭露Windows Server Update Services (WSUS) 存在一個高嚴重性漏洞(CVE-2025-59287，CVSS：9.8)。 該漏洞允許未經身分驗證的遠端攻擊者，透過發送精心設計的請求觸發反序列化，導致在目標伺服器上以系統權限執行任意程式碼。 此漏洞僅影響啟用WSUS伺服器角色的Windows Server，預設情況下WSUS角色並未啟用。 美國網路安全與基礎設施安全局（CISA）已將CVE-2025-59287納入已知漏洞目錄(KEV)，並觀察該漏洞已被攻擊者積極利用。 荷蘭國家網路安全中心（NCSC-NL）亦發布警告，確認漏洞已遭實際利用，建議用戶儘速依循Windows官方建議，採取相關緩解措施，以防止系統遭入侵並造成重大損失。 資安業者Huntress發現攻擊者正在掃描對外開放WSUS連接埠（8530與8531），並向可連線的伺服器發送惡意請求。 攻擊過程中，攻擊者可能透過PowerShell解碼並執行惡意酬載，搜尋網路內所有伺服器與使用者資訊，並將竊取的資料傳送至遠端伺服器；同時還會利用代理伺服器混淆攻擊過程。 面對此重大資安威脅，建議企業和組織採取以下防護措施： 1. 依Mirosoft安全更新指南，確認受影響版本，並將對應的安全更新(Security Patches)儘速套用至所有 WSUS 伺服器。 2. 嚴格執行服務最小化原則：除非有明確業務需求，應停用 WSUS 伺服器角色或移除不必要的WSUS部署。 3. 邊界防禦：在主機與網路邊界防火牆上，阻止/阻擋 (Block) 連接埠8530和8531的所有外部入站流量。 4. 系統安全開發：建立安全的資料序列化機制與嚴格的類型驗證，以防範不受信任的反序列化攻擊。 5. 威脅偵測：持續監控並透過日誌分析工具分析 WSUS 相關的網路流量與系統日誌，以儘早檢測任何可疑行為。 See more: https://www.twcert.org.tw/tw/cp-104-10534-731f7-1.html