Microsoft は、Windows Server Update Services (WSUS) の重大な脆弱性を修正するための緊急のアウトオブバンド セキュリティ更新プログラムをリリースしました。
この欠陥 CVE-2025-59287 により、攻撃者はユーザーの介入なしに、脆弱なサーバー上でリモートからコードを実行できます。
10 月 23 日に発行された緊急パッチは、概念実証エクスプロイトがオンラインで公開された後、必要になりました。 10 月 24 日にオランダのサイバーセキュリティ当局者が、この脆弱性が実際に活発に悪用されていることを確認したことで、脅威はさらに拡大しました。
Microsoft は管理者に対し、新しい累積的な更新プログラムを直ちに適用するよう促しています。この更新プログラムは、10 月のパッチ火曜日リリースの不完全な修正プログラムに代わるものです。
CVSS スコアは 10 点中 9.8 で、この脆弱性は次のレベルに相当します。企業ネットワークに対する重大なリスク。この欠陥は、無数の組織の中核インフラストラクチャ コンポーネントである WSUS 内に存在し、その悪用には特別な権限やユーザーの操作が必要ないため、特に危険です。
WSUS は Microsoft 更新プログラムのローカル リポジトリとして機能するため、管理者はパッチの展開を効率的に管理し、帯域幅を節約できます。
しかし、この中心的な役割により、それは独特の強力な標的にもなります。 WSUS サーバーへの攻撃が成功すると、攻撃者は企業ネットワークの中心部への信頼できる配布チャネルを得ることができます。
そこから、正規のソフトウェア アップデートを装ったランサムウェア、スパイウェア、その他のマルウェアが、接続されているすべてのワークステーションやサーバーに展開され、壊滅的な広範囲にわたる侵害につながる可能性があります。
Microsoftのアドバイザリーによると、「リモートの認証されていない攻撃者が、従来のシリアル化メカニズムで安全でないオブジェクトの逆シリアル化をトリガーする細工されたイベントを送信し、リモートでコードが実行される可能性があります。」
安全でない逆シリアル化として知られるこのタイプの欠陥は、アプリケーションがシリアル化されたデータ (送信用にオブジェクトをパッケージ化するために使用される形式) を受信し、その内容を適切に検証せずにそれを再構築した場合に発生します。
あHawkTrace の研究者 Batuhan Er によるテクニカル分析このエクスプロイトは「AuthorizationCookie」オブジェクトをターゲットにしており、攻撃者が最高のシステム権限で悪意のあるコードを挿入して実行できることを明らかにしました。
セキュリティの専門家は、急速かつ自動化された拡散の可能性について警鐘を鳴らしています。トレンドマイクロのゼロデイ イニシアチブのダスティン チャイルズ氏と警告した「この脆弱性は影響を受ける WSUS サーバー間でワーム化可能であり、WSUS サーバーは魅力的なターゲットです。」
「ワーム化可能な」エクスプロイトは、人間の介入なしにある脆弱なシステムから別のシステムに自己伝播する可能性があり、単一のエントリ ポイントからネットワーク全体に連鎖的に侵害される可能性があります。
急速に拡大する脅威
概念実証エクスプロイトの公開後、管理者は時間との闘いに直面しました。
状況はわずか 1 週間で定期的なパッチ適用から本格的な緊急事態に発展し、現代のサイバー脅威のペースの速さを浮き彫りにしました。
Microsoft は当初、予定されていた 10 月 14 日のパッチ火曜日リリースでこの脆弱性に対処しましたが、後にこの修正が不完全であることが判明し、サーバーが危険にさらされたままになっています。
セキュリティ研究者のバトゥハン・アー氏が詳細な分析と実用的な概念実証エクスプロイトを発表したとき、脅威レベルは劇的に増加しました。
機能的なエクスプロイト コードが公開されると、サイバー犯罪者の戦略として機能し、スキルの低い攻撃者が脆弱性を武器にして、パッチが適用されていないシステムに対して広範な攻撃を開始する障壁が大幅に低くなります。
活発な悪用の確認は 10 月 24 日に迅速に行われました。オランダ国立サイバー セキュリティ センター (NCSC)それを示す警告を発した「信頼できるパートナーから、2025 年 10 月 24 日に脆弱性の悪用 (…) が観察されたことを知りました。」
この公式な確認により、この脆弱性は理論上のリスクから明らかな現在の危険へと移行し、脅威を封じ込めるための Microsoft の緊急アウトオブバンド対応が促されました。
緊急の緩和策: 今すぐパッチを適用するかサーバーを隔離する
活発なエクスプロイトと公開 PoC に対応して、Microsoft は 10 月 23 日に包括的なアウトオブバンド アップデートを発行しました。同社は、影響を受けるすべての Windows Server バージョンに特定のアップデートを提供し、即時対応の重要性を強調しました。
パッチをすぐに展開できない管理者のために、会社は2 つの考えられる回避策を詳しく説明。
1 つ目は、WSUS サーバーの役割を一時的に完全に無効にすることです。 2 つ目は、サーバーのホスト ファイアウォール上のポート 8530 および 8531 へのすべての受信トラフィックをブロックすることです。
これらの対策はエクスプロイトを阻止するのには効果的ですが、WSUS を動作不能にし、クライアント マシンへのすべての重要なセキュリティ更新プログラムのフローを停止するため、管理者にとっては難しい選択を迫られます。
続きを読む:
Microsoftはまた、新しいパッチの性質を明確にし、その単純さを強調した。同社の発表によると, 「これは累積的な更新プログラムであるため、影響を受けるバージョンの以前のすべての更新プログラムに優先するため、この更新プログラムをインストールする前に以前の更新プログラムを適用する必要はありません。」
インストール後にプロセスを完了するにはシステムを再起動する必要があります。軽微な副作用として、Microsoft は、欠陥を完全に解決するために、この更新プログラムにより WSUS インターフェイスでの同期エラーの詳細の表示が一時的に削除されることを指摘しました。
