はじめに
Microsoftは、Windows Server Update Service (WSUS) における深刻度「緊急」のリモートコード実行(RCE)脆弱性「CVE-2025-59287」に対応するため、緊急の帯域外(OOB)セキュリティアップデートをリリースしました。この脆弱性に対する概念実証(PoC)エクスプロイトコードがすでに公開されており、迅速な対応が求められています。
WSUSの脆弱性「CVE-2025-59287」の詳細
「CVE-2025-59287」は、WSUSサーバーの役割が有効になっているWindowsサーバーのみに影響する脆弱性です。この役割はデフォルトでは有効になっていません。攻撃者は、認証なしでリモートから、低い複雑性でユーザーの操作を必要とせずにこの脆弱性を悪用できます。これにより、特権を持たない攻撃者が脆弱なシステムを標的にし、SYSTEM権限で悪意のあるコードを実行することが可能になります。さらに、WSUSサーバー間で「ワーム可能」である可能性も指摘されています。
Microsoftは、「リモートの認証されていない攻撃者が、レガシーなシリアル化メカニズムにおける安全でないオブジェクトのデシリアル化をトリガーする細工されたイベントを送信することで、リモートコード実行につながる可能性がある」と説明しています。
緊急パッチの提供と対象バージョン
Microsoftは、影響を受けるすべてのWindows Serverバージョン向けにセキュリティアップデートを公開しました。対象となる更新プログラムは以下の通りです。
- Windows Server 2025 (KB5070881)
- Windows Server, version 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
PoCエクスプロイトの公開と緊急性
Microsoftがセキュリティアドバイザリを更新した木曜日の発表によると、「CVE-2025-59287」に対する概念実証(PoC)エクスプロイトがオンラインで公開されています。このため、脆弱なサーバーへのパッチ適用はこれまで以上に緊急性が高まっています。
一時的な回避策
緊急パッチを直ちに適用できない管理者向けに、Microsoftは一時的な回避策も提示しています。
- WSUSサーバーの役割を無効にして、攻撃ベクトルを排除する。
- ホストファイアウォールでポート8530および8531へのすべてのインバウンドトラフィックをブロックし、WSUSを非運用状態にする。
ただし、これらの回避策を適用すると、Windowsエンドポイントがローカルサーバーから更新プログラムを受信できなくなる点に注意が必要です。
推奨される対応
Microsoftは、「これは累積的な更新プログラムであるため、この更新プログラムをインストールする前に以前の更新プログラムを適用する必要はなく、影響を受けるバージョンに対する以前のすべての更新プログラムに優先する」と述べています。まだ2025年10月のWindowsセキュリティ更新プログラムをインストールしていない場合は、代わりにこのOOB更新プログラムを適用することを推奨しています。更新プログラムのインストール後には、システムの再起動が必要です。