はじめに – WSUSの深刻なRCE脆弱性が活発に悪用される

MicrosoftのWindows Server Update Services (WSUS) に存在する重大なリモートコード実行 (RCE) 脆弱性 (CVE-2025-59287) が、現在ハッカーによって活発に悪用されていることが判明しました。この脆弱性により、認証されていない攻撃者が脆弱なサーバー上で任意のコードを実行できる状態です。攻撃は自動化されたスクリプトではなく、「ハンズオンキーボード」偵察と呼ばれる手動の技術で行われていることが示唆されています。

攻撃の検出と手口

この活動は、サイバーセキュリティ企業Eye Securityが顧客のWSUSシステムから受け取った緊急アラートによって最初に検出されました。アラートは、`w3wp.exe`プロセスによって`whoami.exe`が実行されたことを示しており、これは悪意のあるウェブシェルの強力な兆候です。さらなる調査により、数秒間隔で一連のコマンドが実行されていることが明らかになり、自動化されたスクリプトではなく、人間の攻撃者によるものであることが示唆されました。

脆弱性の技術的詳細

この脆弱性は、Hawktraceの研究で詳細に説明されているデシリアライゼーションのバグです。初期の概念実証では電卓を起動するに留まっていましたが、攻撃者はすでにこれを悪用し、より悪意のある目的に利用しています。攻撃ログの分析では、Base64エンコードされた.NET実行可能ファイルを含むペイロードが確認されました。このペイロードにより、攻撃者はHTTPリクエストヘッダーを介して渡されたコマンドを実行し、侵害されたサーバーを制御できるようになります。

影響範囲とMicrosoftの対応

WSUSサーバーは、組織全体にアップデートを展開するためのネットワーク管理の要であるため、この脆弱性は特に懸念されます。侵害は、ランサムウェアの展開を含む広範な侵入につながる可能性があります。インターネットのスキャンでは、ポート8530または8531が公開されている約8,000台のWSUSサーバーが確認されています（ただし、そのうちどれだけが脆弱であるかは不明です）。これらの活発な悪用に対応し、MicrosoftはアウトオブバンドパッチKB5070883をリリースし、CVE-2025-59287に対処しました。

推奨される対策

セキュリティ専門家は、すべての組織に対し、直ちにパッチを適用するよう強く促しています。さらに、WSUSサーバーが公共のインターネットに公開されていないこと、および疑わしい活動を監視するための堅牢なエンドポイント検出および対応 (EDR) ソリューションが導入されていることを確認することを推奨しています。

侵害の痕跡 (IOCs)

• エラーメッセージ: SoapUtilities.CreateException ThrowException: actor = https://host:8531/ClientWebService/client.asmx -> Error thrown in SoftwareDistribution.log after exploitation
• シリアライズされたペイロードの一部: AAEAAAD/////AQAAAAAAAAAEAQAAAH9 — Part of the serialized payload, found in SoftwareDistribution.log
• 送信元IP (VPS): 207.180.254[.]242 — VPS from which the exploit was sent
• SHA256 (埋め込みMZペイロード): ac7351b617f85863905ba8a30e46a112a9083f4d388fd708ccfe6ed33b5cf91d

元記事: https://gbhackers.com/hackers-are-actively-exploiting-windows-server-update-services-rce-flaw/