Windows WSUS の脆弱性 CVE-2025-59287：大規模な偵察とデータ窃取の活動を確認

Attackers Exploit Windows Server Update Services Flaw to Steal Sensitive Organizational Data

2025/10/31 gbhackers — Windows Server Update Services (WSUS) に発見された脆弱性 CVE-2025-59287 が、実際に悪用されていることを Sophos の研究者たちが確認した。この脆弱性を悪用する脅威アクターが、世界中の組織から機密データを収集しているという。このリモート・コード実行の脆弱性の悪用においては認証が不要であるため、企業ネットワークへの侵入と、重要な情報の窃取を試行する攻撃者にとって、価値の高い標的となっている。

この脆弱性 CVE-2025-59287 に対して Microsoft は、2025年10月14日に修正プログラムをリリースし、続いて 10月23日に緊急のアップデートをリリースしている。その後に、GitHub で PoC コードが公開されたことにより、悪用のタイムラインが加速し、技術分析の公開からわずか数時間後に、脅威アクターによる攻撃が開始された。

10月24日 02:53 (UTC) の時点で、この脆弱性の最初の悪用を検出した Sophos Counter Threat Unit の研究者が確認したのは、インターネットに公開された多様な業界の WSUS サーバを標的とする、組織的な攻撃は開始されていることだった。

この攻撃は数時間にわたり継続し、米国などに拠点を置くテクノロジー／医療／製造／教育といった分野の組織に大きな影響を与えた。

攻撃者が脆弱性を悪用する方法

Sophos のセキュリティ研究者たちが確認した攻撃の手法が示すのは、脅威アクターの高度な能力である。

デシリアライズのバグを悪用する脅威アクターは、IIS ワーカープロセス内で実行されるネストされた “cmd.exe” プロセスを経由して、Base64 エンコードされた PowerShell コマンドを実行する。

さらに、悪意の PowerShell スクリプトにより、外部 IP アドレスとポートのコンフィグや、Active Directory ドメイン・ユーザーの完全なリスト、詳細なネットワーク・インターフェイスのコンフィグといった、組織の重要なデータを体系的に収集されていく。その後に、収集された情報は、脅威アクターの管理下にある外部の webhook.site の URL へ向けて流出する。

Sophos の顧客環境においては、少なくとも６件のインシデントが確認されており、予備的な分析では約 50件の組織で侵害の可能性が示唆されている。

このスクリプトはデフォルトで、webhook.site へのアップロードが失敗した場合に、ネイティブの curl コマンドの使用へと自動的に切り替わる設定になっており、初期接続に問題が生じても、確実にデータ窃取を実行する仕組みになっている。

続いて、公開された webhook.site の URL を分析したところ、複数の大学／テクノロジー企業／製造会社／医療機関などの、ドメイン・ユーザー情報やネットワークのコンフィグを含む高機密ダンプが確認された。それに加えて、この攻撃者が、リクエスト履歴が閲覧可能な無料の webhook.site サービスを選択していたことで、研究者たちはエクスプロイト活動の全容を文書化できた。

10月24日の 02:53 UTC～11:32 UTC に、攻撃者が利用する webhook URL は、最大 100 件のリクエスト制限に達した。それが示すのは、脆弱なシステムを標的とする偵察活動の規模である。したがって、ユーザー組織に対して、セキュリティ専門家や CISA／NSA などが強く求めるのは、速やかな保護対策の実施である。

具体的には、すべての WSUS インストール環境へのパッチ適用／インターネットに公開されている WSUS サーバの特定／ネットワーク・セグメンテーションとファイアウォール・ポリシーによる WSUS ポート 8530 および 8531 へのアクセス制限などが含まれる。また、組織にとって必要なことは、スキャンや悪用試行の兆候についてログを確認することである。

脆弱性 CVE-2025-59287 の急速な悪用が示すのは、新たに公開された脆弱性を、脅威アクターが迅速に悪用する様子である。それが浮き彫りにするのは、タイムリーなパッチ適用とネットワーク・セグメンテーションが、組織のセキュリティ体制にとって不可欠なことである。

この脆弱性は、WSUS に存在するデシリアライズの欠陥に起因し、認証を必要としない攻撃者が、IIS ワーカー内から PowerShell を実行するという可能性が生じます。さらに、技術分析や PoC の公開により悪用が一気に加速し、インターネットに露出した WSUS が集中的に狙われています。その結果として、ドメイン・ユーザーの一覧やネットワーク設定が webhook 経由で外部へ流出するという被害が生じていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-59287 で検索を、ご参照ください。