Windows Server Update の脆弱性 CVE-2025-59287：PoC エクスプロイトが登場

PoC Exploit Released for Windows Server Update Services Remote Code Execution Vulnerability

2025/10/20 CyberSecurityNews — Microsoft の Windows Server Update Services (WSUS) に存在する、深刻な脆弱性の悪用を実証する PoC エクスプロイトが公開された。この脆弱性 CVE-2025-59287 (CVSS v3.1：9.8) を悪用する未認証の攻撃者は、SYSTEM 権限によるリモート・コードの実行を、影響を受けるサーバ上で可能にする。この WSUS の AuthorizationCookie 処理における脆弱性は、信頼されていないデータへの不用意なデシリアライズに起因する。

この脆弱性は、Microsoft の 2025年10月 Patch Tuesday で公開／修正されたものであり、広範に及ぶ侵害を引き起こす可能性があるため、企業のアップデート・インフラに深刻なリスクをもたらす。

Windows Server の一部である WSUS は、ネットワーク全体で Microsoft の更新プログラムの展開や、システムへのパッチ適用とセキュリティ維持を可能にするものだ。

新機能の追加が止まっている WSUS だが、依然として実稼働環境で広く使用され、継続的なセキュリティ・サポートを受けている。

この脆弱性が影響を及ぼす範囲は、すべての Windows Server 2012〜2025 である。これらのバージョンには、暗号化された AuthorizationCookie オブジェクトを、GetCookie() エンドポイントが適切に検証しないという問題がある。

脆弱性 CVE-2025-59287 は、EncryptionHelper.DecryptData() メソッドのデシリアライゼーションの欠陥に起因する。

AES-128-CBC で暗号化された Cookie データは復号され、その後のデシリアライゼーションのために、そのまま .NET の BinaryFormatter へと受け渡される。

しかし、このレガシー・シリアライザには型制限がないため、攻撃者は悪意のペイロードを作成することで任意のコード実行をトリガーできる。Microsoft の分類によると、この脆弱性は「悪用される可能性が高い」ものであり、ネットワークに接続された WSUS サーバー全体でワーム化される可能性もあると指摘されている。

攻撃フローと PoC エクスプロイト

この脆弱性の悪用は、ポート 8530 の WSUS ClientWebService エンドポイントへの、認証されていない HTTP POST リクエストから始まる。攻撃者が送信する SOAP エンベロープには、改竄された AuthorizationCookie (PlugInId は SimpleTargeting) と暗号化されたペイロード・データが取り込まれている。

それを処理するサーバは、ハードコードされたキー “877C14E433638145AD21BD0C17393071” を用いて Cookie を復号し、IV ブロックを削除して、結果を BinaryFormatter でデシリアライズする。

研究者である hawktrace が GitHub で共有している PoC エクスプロイトでは、C# によるペイロード生成が示されている。この脆弱性により、悪意のデリゲートがシリアライズされ、”calc.exe” などのコマンドの起動が達成され、パディングなしで暗号化され後に、SOAP リクエストとして Base64 エンコードされた文字列が出力される。

このトレース情報から明らかになったのは、Client.GetCookie() → AuthorizationManager → DecryptData() と続く呼び出しのチェーンである。この呼び出しチェーンでは、SYSTEM コンテキストによりデシリアライズが行われる。それに加えて、ユーザーによる操作は不要であるため、公開されている WSUS インスタンスにとって非常に危険な脆弱性である。

このリモートコード実行 (RCE) が引き起こすものには、侵害された WSUS サーバからクライアントへと悪意の更新プログラムが配布されるサプライチェーン攻撃がある。現時点において、実際の悪用事例は報告されていないが、PoC が公開されたことで、パッチ適用の緊急性が高まっている。

Microsoft が強く指摘するのは、Windows Update または WSUS 自体を通じて、2025年10月の Patch Tuesday を直ちに適用することだ。

ユーザー組織にとって必要なことは、WSUS サーバの隔離／ファイアウォールによるアクセス制限／異常な SOAP トラフィックの監視である。長期的な視点で Microsoft が推奨するのは、厳格な検証を備えた JSON／XML シリアライザなどへの、BinaryFormatter からの移行である。

WSUS は重要な更新メカニズムの基盤となっているため、APT やランサムウェアなどに狙われやすい。したがって、パッチの適用を遅らせると、広範囲にわたるネットワーク侵害のリスクが生じる。

WSUS の問題は、不用意なデシリアライズ処理にあります。具体的には、GetCookie() が AES-128-CBC で暗号化された AuthorizationCookie を復号して IV を削除した後に、十分な検証を行わずに .NET の BinaryFormatter に直接渡すという流れに問題があります。ハードコードされた鍵や、認証を要さない SOAP POST による侵入経路が存在し、Client.GetCookie() → AuthorizationManager → DecryptData() の呼び出しチェーンで SYSTEM コンテキスト下でデシリアライズが実行されると、この記事は指摘しています。よろしければ、Windows Server で検索を、ご参照ください。