Analistas de ameaças cibernéticas estão detectando uma exploração ativa de uma vulnerabilidade crítica no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Poucos dias após a Microsoft lançar uma atualização de emergência e adicionar No problema ao catálogo de Detecção de Erros de Chave (KEV) da CISA, os pesquisadores já estão observando ataques em larga escala utilizando-o.
Apesar dos relatos de ataques reais, a Microsoft ainda não alterou o status da CVE-2025-59287, que ainda lista a vulnerabilidade como inexplorável. A empresa apenas estima a probabilidade de ataques como “mais provável”, embora dados de diversas fontes indiquem que os ataques já estão a todo vapor.
O Grupo de Inteligência de Ameaças do Google (GTIG) confirmado ter detectado uma campanha explorando essa falha, realizada por um novo agente identificado como UNC6512. Após obterem acesso, os invasores executam comandos para realizar o reconhecimento do sistema e da infraestrutura e, em seguida, exfiltram dados dos servidores infectados.
A vulnerabilidade afeta o Windows Server 2012–2025 e é causada pela desserialização insegura de dados não confiáveis, permitindo a execução arbitrária de código sem autenticação. Servidores sem a função WSUS habilitados permanecem inalterados.
O primeiro patch foi lançado em 8 de outubro como parte do ciclo de atualização padrão, mas foi mostrado incompleto. Uma semana depois, a Microsoft lançou uma atualização não programada, mas uma onda de ataques começou logo em seguida. De acordo com a Trend Micro, aproximadamente 100.000 tentativas de exploração foram registradas nos últimos sete dias. Uma Iniciativa Dia Zero incidente Que quase 500.000 servidores com o WSUS permaneceram online, e instâncias vulneráveis estão sendo atacadas indiscriminadamente, independentemente do setor ou região.
De acordo com analistas da Unidade 42, os ataques têm como alvo servidores WSUS de acesso público usando as portas padrão 8530 (HTTP) e 8531 (HTTPS). Após uma intrusão bem-sucedida, os invasores usam o PowerShell para coletar informações de rede — incluindo os comandos whoami, net user /domain e ipconfig /all — e transmitem os dados coletados para um servidor de terceiros via Invoke-WebRequest ou curl.exe.
A Unidade 42 observa que os ataques atualmente são limitados ao reconhecimento, mas suas consequências podem ser catastróficas: um WSUS comprometido é capaz de distribuir malware por meio de atualizações para toda a infraestrutura corporativa. Além disso, a complexidade da exploração é mínima, e o exploit de prova de conceito está disponível desde 21 de outubro, tornando a vulnerabilidade extremamente atraente para ataques em massa.
