Hackers Exploiting Microsoft WSUS Vulnerability In The Wild – 2800 Instances Exposed Online
2025/10/27 CyberSecurityNews — Microsoft の Windows Server Update Services (WSUS) に存在する深刻な脆弱性を、ハッカーたちが悪用している。セキュリティ研究者たちが報告しているのは、この脆弱性を標的とする広範な攻撃の試みである。脆弱性 CVE-2025-59287 (CVSS 3.1:9.8) を悪用する攻撃者は、パッチ未適用の WSUS サーバ上でリモート・コード実行を可能にする。この攻撃が成功すると、企業ネットワーク全体が脅威アクターの制御下に置かれることになる。
2025年10月27日の時点で、複数のデータにより確認されているのは、ポート 8530 および 8531 経由でスキャンされた、少なくとも 2,800 件の WSUS オンライン・インスタンスの存在である。ただし、すべてが脆弱であるとは限らないという。
このデシリアライゼーションの脆弱性は、今月初めに公開された WSUS の更新プログラム承認プロセスに存在するものだ。Microsoft は、その深刻度を Critical (CVSS 3.1:9.8) と評価している。その理由は、認証を必要とせずに、容易に悪用できる点にある。
10月の Patch Tuesday でガイダンスが公開された直後の 10月15日に、POC のエクスプロイトがアンダーグラウンド・フォーラムで出回り、攻撃の急増を引き起こしている。
サイバー・セキュリティ企業 ShadowPeak の広報担当者は、「POC が公開された後に、この脆弱性を狙う攻撃が急増している。先週から WSUS 環境のフィンガープリンティングを開始した」と述べている。
10月25日のスキャンでは、北米とヨーロッパを中心に脆弱なインスタンスが確認され、企業環境での被害の拡大が浮き彫りにされている。
攻撃戦術と影響
この POC を悪用する攻撃者は、Windows マシンへのパッチ展開を管理する WSUS サーバを標的にして、ラテラル・ムーブメント (横展開) 手法を仕掛けている。侵入に成功した脅威アクターは、悪意の更新プログラムの配布/機密データの窃取/永続的なバックドアの設置を可能にする。
初期兆候として挙げられるのは、WSUS エンドポイントへの異常なトラフィックや、イベントビューア ID 10016/20005 に記録される不審な更新承認である。
特に注目すべき事例は、米国における中規模の金融機関で発生したインシデントである。この脆弱性を悪用して社内の Active Directory に侵入した攻撃者は、10月23日に短時間のシステム停止を引き起こしている。
Microsoft は 2025年10月の Patch Tuesday で、直ちにパッチを適用するよう勧告している。しかし ShadowPeak のテレメトリによると、スキャン対象インスタンスのうち、緩和策が適用されているのは約 40% に留まり、広範での対応の遅れが目立っている。
WSUS の自動更新に依存する組織において、特に HTTP/HTTPS ポートをインターネットに公開しているハイブリッド・クラウド環境において、この遅延によるリスクが高まっている。
| CVE ID | Affected Product | CVSS 3.1 Score | Description | Impact |
|---|---|---|---|---|
| CVE-2025-59287 | Microsoft WSUS (versions < 10.0.20348.2000) | 9.8 (Critical) | Deserialization vulnerability in update handling | Remote code execution; network compromise |
専門家たちが警告するのは、監視が不十分なレガシー・インフラの WSUS 環境が、LockBit 3.0 などのランサムウェア・グループの標的になっている点だ。これらのグループは、リークサイト上の POC 情報を参照している。
緩和策
この脅威に対処する Microsoft は、最新の累積更新プログラムの適用を推奨し、WSUS ポートへのアクセスをファイアウォールで制限するよう呼びかけている。理想的には、社内 VPN のみにアクセスを限定すべきだと述べている。
Nessus などのツールやカスタム・スクリプトを用いれば、脆弱性のフィンガープリンティングが可能となるが、それと並行して、エンドポイント検出プラットフォームによりデシリアライズの異常を監視すべきである。
サイバー・セキュリティ・アナリストの Elena Vasquez は、「これは単なるパッチ適用の問題ではない。再認識すべきは、更新サーバを定期的に監査する必要性である」と指摘している。
脆弱性の悪用が進化を続ける中、2,800 件以上の脆弱なインスタンスが露出している現状に対して、IT チームは迅速に対応せざるを得ない。悪意のスキャンは終息していないため、パッチの遅延が続けば、この脆弱性による大規模な侵害連鎖が生じる可能性がある。
それぞれのユーザ組織は、優先的に WSUS の強化を進め、この拡大する脅威から更新エコシステムを防御すべきである。
この問題は、WSUS の更新処理に存在するデシリアライゼーション脆弱性に起因します。外部から送られる不正なデータを適切に検証せず、そのままプログラム内で処理してしまう仕組みの問題です。その結果として攻撃者は、認証なしでリモートから任意のコードを実行でき、更新サーバを足がかりに企業ネットワーク全体を支配できてしまいます。アンダーグラウンドで公開された POC により攻撃が急増し、パッチ未適用の環境では被害拡大が進んでいると、この記事は指摘しています。よろしければ、CVE-2025-59287 で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.