概要
攻撃者によって、Windows Server Update Service (WSUS) の深刻な脆弱性 (CVE-2025-59287) が現在悪用されています。この脆弱性に対する概念実証 (PoC) エクスプロイトコードもすでに公開されています。このリモートコード実行 (RCE) の欠陥は、組織内の他のWSUSサーバーの更新元として機能するようにWSUSサーバーの役割が有効になっているWindowsサーバーのみに影響します(この機能はデフォルトでは有効になっていません)。
攻撃者は、特権やユーザーの操作を必要としない低複雑度の攻撃でこの脆弱性をリモートから悪用し、SYSTEM権限で悪意のあるコードを実行できます。これらの条件下では、このセキュリティ上の欠陥はWSUSサーバー間でワームのように拡散する可能性もあります。
Microsoftの対応と推奨事項
Microsoftは木曜日、CVE-2025-59287に包括的に対処するため、影響を受けるすべてのWindows Serverバージョン向けに帯域外セキュリティ更新プログラムをリリースし、IT管理者にできるだけ早くインストールするよう助言しました。影響を受けるバージョンと対応するKB番号は以下の通りです。
- Windows Server 2025 (KB5070881)
- Windows Server, version 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
Microsoftはまた、緊急パッチをすぐに展開できない管理者向けに回避策も共有しており、これには脆弱なシステムでWSUSサーバーの役割を無効にして攻撃ベクトルを排除することが含まれます。
実世界での悪用とPoCの公開
週末には、サイバーセキュリティ企業HawkTrace SecurityがCVE-2025-59287の概念実証エクスプロイトコードを公開しましたが、これは任意のコマンド実行を許可するものではありません。しかし、オランダのサイバーセキュリティ企業Eye Securityは本日、すでにスキャンおよび悪用試行を観測しており、少なくとも顧客の1つのシステムがHawkTraceが共有したものとは異なるエクスプロイトを使用して侵害されたと報告しました。
通常、WSUSサーバーはオンラインに公開されていませんが、Eye Securityは世界中で約2,500のインスタンスを発見し、そのうちドイツで250、オランダで約100のインスタンスが確認されています。オランダ国家サイバーセキュリティセンター (NCSC-NL) は本日、Eye Securityの調査結果を確認し、PoCエクスプロイトがすでに利用可能であることから、管理者にリスクの増加について警告しました。NCSC-NLは金曜日の勧告で、「NCSCは信頼できるパートナーから、2025年10月24日に識別子CVE-2025-59287を持つ脆弱性の悪用が観測されたことを知りました」と警告し、「WSUSサービスがインターネット経由で公開されているのは一般的な慣行ではありません。脆弱性に対する公開された概念実証コードが現在利用可能であり、悪用のリスクが高まっています」と述べました。
リスク評価と今後の動向
MicrosoftはCVE-2025-59287を「悪用される可能性が高い (Exploitation More Likely)」と分類しており、攻撃者にとって魅力的な標的であることを示しています。しかし、Microsoftはまだ、アクティブな悪用を確認するために勧告を更新していません。