Em 23 de outubro de 2025, a Microsoft lançou uma atualização de segurança de emergência para corrigir uma vulnerabilidade crítica identificada como CVE-2025-59287(CVSS de 9.8). Uma falha na correção da desserialização de dados não confiável no Windows Server Update Services (WSUS), permitindo que agentes de ameaças remotas e não autenticados executem código remotamente. De acordo com a Microsoft, apenas os servidores Windows com a Função de Servidor WSUS habilitados são afetados – esse recurso não está habilitado por padrão. Ó Shodan indica a existência de 82 servidores com essas características no Brasil e 2.626 no mundo.
Embora o CVE-2025-59287 tenha sido corrigido originalmente na atualização Patch Tuesday de outubro, a Microsoft indicou que o patch inicial não era abrangente e que esta nova atualização deve ser aplicada para mitigar completamente a vulnerabilidade. Agentes de ameaças podem explorar essa vulnerabilidade, que foi adicionado ao Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA logo após o lançamento do novo patch. Além disso, detalhes técnicos e uma exploração de prova de conceito para o CVE-2025-59287 já está disponível.
Atividade de ameaça direcionada aos servidores WSUS
Segundo a empresa de segurança Arctic Wolf, foram distribuídos ataques direcionados aos servidores WSUS nas portas TCP 8530 e 8531, mas a empresa observa que não pode “confirmar totalmente se esta campanha está diretamente relacionada ao CVE-2025-59287. incidente, um script malicioso do PowerShell foi executado em um processo cmd gerado pelo processo de trabalho do IIS, w3wp.exeou wsusservice.exe. O comando injetado executado net user /domaine ipconfig /allredirecionar a saída para um domínio controlado por um agente de ameaça”.
Embora o exemplo nem sempre permita a execução arbitrária de comandos, sua mera propriedade desencadeou um aumento na atividade. Na manhã de 24 de outubro, representantes da empresa holandesa Eye Security afirmaram as primeiras pesquisas e tentativas de exploração, e um dos clientes da organização foi atacado usando uma variante de exploração diferente. A empresa americana Huntress também registrou ataques contra servidores WSUS acessíveis pela internet através das portas padrão.
