CISA Alerts on Active Exploitation of WSUS Vulnerability
2025/10/30 gbhackers — 2025年10月29日に米国の Cybersecurity and Infrastructure Security Agency (CISA) は 、Windows Server Update Services (WSUS) の深刻な脆弱性 CVE-2025-59287 の積極的な悪用を警告した。この警告は同日中に更新され、脆弱なシステムの特定や潜在的な脅威の検知に関する重要な情報が追加された。
Windows Server Update Service における重大な欠陥
10月14日の Patch Tuesday で Microsoft は、この脆弱性 CVE-2025-59287 に対するセキュリティ更新を公開している。このリモート・コード実行の脆弱性は、Windows Server 2012/2016/2019/2022/2025 の WSUS に影響するものである。
この脆弱性は、以前のパッチでは問題が完全に解決されていなかった。そのため、この脆弱性を悪用する未認証の攻撃者は、システム・レベル権限でリモート・コードを実行し、影響を受けるサーバを完全に制御する可能性を持つ。
2025年10月24日の時点で CISA は、脆弱性 CVE-2025-59287 を Known Exploited Vulnerabilities (KEV) カタログに追加し、実際の悪用が確認されたことを発表した。
したがって、すべてのユーザー組織にとって速やかな対処が必要となる。最初に行うべきことは、WSUS サーバ・ロールの有効化と、TCP 8530/8531 ポートの開放を確認し、脆弱なサーバを特定することだ。管理者は PowerShell コマンドの実行もしくは、Server Manager Dashboard でのチェックにより、WSUS のインストール状況を検証できる。
すべての特定されたサーバに対して、2025年10月23日に更新された緊急セキュリティ・アップデートを適用し、インストール後にシステムを再起動する必要がある。更新プログラムの迅速な展開が不可能な組織に推奨されるのは、WSUS サーバ・ロールの一時的な無効化、もしくは、デフォルトの WSUS リスナー・ポートへの着信トラフィックの遮断である。
そのようにして、WSUS サーバを保護した後に、すべての Windows サーバに更新プログラムを適用し、再起動して完全な保護を確保する必要がある。CISA が推奨するのは、パッチ適用に加えて、悪用の兆候を監視することだ。
セキュリティ・チームが実施すべきは、”wsusservice.exe”/”w3wp.exe” プロセスに起因する、システム・レベル権限で生成された不審な挙動や子プロセスの確認である。ただし、これらのプロセスは、正当なシステム活動の可能性もある。
ユーザー組織が監視すべきは、攻撃者が難読化で多用する Base64 エンコード・コマンドによる、ネストされた PowerShell プロセスである。そのためには、異常なプロセス動作や権限昇格の試行を検知するよう、エンドポイント・セキュリティを設定する必要がある。
CISA はガイダンスを更新し、Huntress/Palo Alto Networks Unit 42 のリソースを追加した。これらの組織は、CVE-2025-59287 に関する詳細な技術分析と検知ガイダンスを公開している。
この脆弱性は、Windows Server インフラを運用する組織に対して深刻なリスクをもたらす。悪用が確認されている今の状況では、パッチ適用の遅延によりシステム全体の侵害やラテラル・ムーブメントが発生する可能性がある。したがってセキュリティ・チームは、パッチ管理スケジュールにおいて、この更新を最優先する必要がある。
WSUS の脆弱性に対する不完全な修正により、深刻な状況が生じています。未認証でも触れ得る 8530/8531 の Web エンドポイントが開いたままの環境で、過去のパッチが穴を塞ぎ切れておらず、RCE が成立しやすい状況になっています。結果として、wsusservice.exe/w3wp.exe を起点にシステム権限の PowerShell が派生する不審挙動が生じやすくなっていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-59287 で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.