概要：WSUS脆弱性による広範な攻撃

Windows Server Update Service (WSUS) の重大な脆弱性を悪用した攻撃により、少なくとも50の組織が被害を受けていることが判明しました。この攻撃は、製品アップデートの展開に利用されるWindows技術を標的としており、被害組織の多くは米国に集中しています。

この脆弱性はCVE-2025-59287として追跡されており、信頼できないデータのデシリアライゼーションに関連しています。マイクロソフトは10月中旬にセキュリティアップデートを公開しましたが、十分な保護を提供できなかったため、先週後半に緊急の帯域外パッチを再発行して問題に対処しました。

Sophosによる分析と偵察活動の可能性

サイバーセキュリティ企業Sophosの研究者によると、同社のテレメトリーではこの悪用活動に関連する6件のインシデントが確認されており、追加のインテリジェンスからは少なくとも50の被害組織が特定されています。Sophosの脅威インテリジェンス担当ディレクターであるRafe Pilling氏は、「これは初期のテストまたは偵察段階であった可能性があり、攻撃者は現在、収集したデータを分析して新たな侵入機会を特定している」と述べています。

WSUSは、IT管理者がマイクロソフトからの製品アップデートを管理するために広く利用されています。被害組織のほとんどは米国にあり、テクノロジー企業、大学、製造業者、医療機関などが含まれています。

脅威アクターとCISAからの警告

Google脅威インテリジェンスグループの研究者は、以前にこの悪用をUNC6512として追跡しているハッカーに関連付けていました。この脅威アクターは、初期アクセスを獲得した後、侵害されたホストおよび関連環境で偵察活動を行い、データも窃取しています。

Eye Securityの研究者らは、Huntress Labsが先週公開した脅威調査をさらに分析し、2つの異なるアクターがこの悪用に関与していることを特定したと報告しています。Sophosは、マイクロソフトが帯域外パッチを発行した翌日の10月24日から、自社の顧客に対する脅威活動を最初に確認しました。

サイバーセキュリティ・インフラセキュリティ庁（CISA）は先週、この脆弱性を既知の悪用済み脆弱性カタログに追加しました。CISAは今週、セキュリティチームに対し、マイクロソフトのパッチを緊急に適用し、システムが侵害されていないか確認するよう強く促しています。

元記事: https://www.cybersecuritydive.com/news/windows-server-update-service-exploitation-50-victims/804362/