はじめに

Sophosの研究者たちは、Windows Server Update Services (WSUS) の新たに開示された脆弱性が実際に悪用され、世界中の組織から機密データが窃取されていることを確認しました。この重大なリモートコード実行の脆弱性（CVE-2025-59287）は、認証なしで企業ネットワークに侵入し、貴重な情報を抽出しようとする攻撃者にとって主要な標的となっています。

脆弱性の詳細と攻撃の経緯

この脆弱性は、Microsoftが2025年10月14日にパッチをリリースし、続いて10月23日に緊急の帯域外アップデートを公開した後、すぐに注目を集めました。GitHubでの概念実証（PoC）コードの公開により、悪用までの期間が短縮され、技術分析が公開されてからわずか数時間で攻撃が開始されました。

Sophos Counter Threat Unitの研究者たちは、10月24日02:53 UTCにこの脆弱性の最初の悪用を検知しました。これは、複数の業界にわたるインターネットに公開されたWSUSサーバーを標的とした協調的な攻撃の波の始まりを示しています。この悪用は数時間にわたり、主に米国のテクノロジー、ヘルスケア、製造、教育分野の顧客に影響を与えました。

攻撃の手口

Sophosのセキュリティ研究者によって観測された攻撃手法は、高度な能力を示しています。攻撃者は、デシリアライゼーションのバグを悪用して、IISワーカープロセスで実行されているcmd.exeプロセスを介してBase64エンコードされたPowerShellコマンドを実行します。一度展開されると、悪意のあるPowerShellスクリプトは、以下の重要な組織データを体系的に収集します。

• 外部IPアドレスとポート構成
• Active Directoryドメインユーザーの完全なリスト
• 詳細なネットワークインターフェース構成

収集された情報は、攻撃者の管理下にある外部のwebhook.site URLに流出されます。webhook.siteへのアップロードが失敗した場合、スクリプトは自動的にネイティブのcurlコマンドを使用するように切り替わり、初期の接続問題に関わらずデータの流出を確実にします。

被害の状況

研究者たちは、Sophosの顧客環境で少なくとも6件のインシデントを特定しましたが、予備分析では約50の組織が侵害された可能性が示唆されています。公開されているwebhook.siteのURLの分析により、複数の大学、テクノロジー企業、製造会社、ヘルスケア組織からのドメインユーザー情報やネットワーク構成を含む機密データのダンプが明らかになりました。

攻撃者が可視の要求履歴を持つ無料のwebhook.siteサービスを選択したことで、研究者たちは悪用活動の全範囲を文書化することができました。10月24日02:53 UTCから11:32 UTCの間に、攻撃者は利用可能なwebhook URLで最大100リクエストの制限に達し、脆弱なシステムを標的とした偵察活動の規模を示しています。

推奨される対策

CISAやNSAを含むセキュリティ専門家および政府機関は、組織に対し、直ちに保護措置を講じるよう強く求めています。これには以下の対策が含まれます。

• すべてのWSUSインストールに利用可能なパッチを適用する。
• インターネットに公開されているWSUSサーバーを特定する。
• ネットワークセグメンテーションとファイアウォールポリシーを通じて、WSUSポート8530および8531へのアクセスを制限する。
• スキャンおよび悪用試行の兆候がないかログをレビューする。

CVE-2025-59287の迅速な悪用は、脅威アクターが新たに開示された脆弱性を悪用するためにどれほど迅速に動員するかを示しており、タイムリーなパッチ適用とネットワークセグメンテーションが組織のセキュリティ体制にとって不可欠であることを強調しています。

---

元記事: https://gbhackers.com/attackers-exploit-windows-server-update-services-flaw/