Exécution de code à cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploitée "in the wild"

Synthèse 

Le 14 octobre 2025, une vulnérabilité critique d'exécution de code à distance (RCE) non authentifiée a été identifiée dans les services WSUS (Windows Server Update Services) de Microsoft, un composant d'entreprise essentiel pour la gestion des mises à jour. Le correctif initial de Microsoft lors du "Patch Tuesday" d'octobre n'a pas entièrement résolu la faille, nécessitant une mise à jour de sécurité d'urgence hors bande publiée le 23 octobre 2025. Quelques heures après cette mise à jour d'urgence, l'Unit 42 et d'autres chercheurs en sécurité ont observé une exploitation active "in the wild". La combinaison d'une RCE exploitable à distance, non authentifiée, dans un service d'infrastructure central, associée à une exploitation active observée "in the wild", représente un risque grave et urgent.

Les détails clés de la menace sont résumés ci-dessous :

• Vulnérabilité : Exécution de code à distance (RCE) critique dans Windows Server Update Services (WSUS), suivie sous la référence CVE-2025-59287 (CVSS 9.8).
• Impact : Permet à un attaquant distant non authentifié d'exécuter du code arbitraire avec des privilèges système sur les serveurs affectés.
• Statut : Activement exploitée. Des acteurs malveillants ont été observés en train d'exploiter la vulnérabilité quelques heures seulement après la publication par Microsoft d'un correctif d'urgence le 23 octobre.
• Urgence : L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues et exploitées (KEV) le 24 octobre, soulignant le risque immédiat.

Pour les organisations incapables de déployer immédiatement les correctifs d'urgence, Microsoft a recommandé des solutions de contournement temporaires pour atténuer le risque.

Les clients de Palo Alto Networks sont mieux protégés contre les activités liées à la CVE-2025-59287 grâce aux produits et services suivants :

• Cortex XDR et XSIAM

L'équipe d'Intervention sur Incident de Unit 42 peut également être sollicitée pour aider en cas de compromission ou pour fournir une évaluation proactive afin de réduire vos risques.

Détails de la CVE-2025-59287

WSUS est un outil fondamental pour les administrateurs IT, permettant la gestion centralisée et la distribution des mises à jour des produits Microsoft sur les réseaux d'entreprise. Son rôle de source de confiance pour les correctifs logiciels en fait une cible de grande valeur ; une compromission d'un serveur WSUS peut servir de point d'ancrage pour un mouvement latéral et une compromission étendue du réseau.

La vulnérabilité réside dans une « désérialisation non sécurisée de données non fiables ». Les chercheurs en sécurité ont identifié plusieurs chemins d'attaque, notamment l'envoi d'une requête spécialement conçue au point de terminaison (endpoint) GetCookie(), qui amène le serveur à désérialiser incorrectement un objet AuthorizationCookie à l'aide du BinaryFormatter non sécurisé. Un autre chemin cible le ReportingWebService pour déclencher une désérialisation non sécurisée via SoapFormatter. Dans les deux cas, un attaquant distant non authentifié peut tromper le système pour qu'il exécute du code malveillant avec le plus haut niveau de privilèges système.

La portée de cette vulnérabilité est spécifique aux systèmes sur lesquels le rôle WSUS est activé :

• Logiciels Affectés : Microsoft Windows Server 2012, 2012 R2, 2016, 2019, 2022 (y compris l'édition 23H2) et 2025.
• Condition Requise : La vulnérabilité n'affecte que les serveurs où le Rôle Serveur WSUS est activé. Cette fonctionnalité n'est pas activée par défaut.

Portée Actuelle de l'Attaque Utilisant la CVE-2025-59287

Suite à la divulgation publique d'un exploit de type "proof-of-concept", Unit 42, ainsi que d'autres sociétés de sécurité, ont rapidement détecté des scans et des exploitations actifs.

L'analyse des attaques observées par Unit 42 révèle une méthodologie cohérente axée sur l'accès initial et la reconnaissance du réseau interne.

• Accès Initial : Les attaquants ciblent les instances WSUS exposées publiquement sur leurs ports TCP par défaut, 8530 (HTTP) et 8531 (HTTPS).
• Exécution : Des commandes PowerShell malveillantes sont exécutées via des processus parents spécifiques. Les chaînes de processus observées en forensic incluent wsusservice.exe → cmd.exe → cmd.exe → powershell.exe et w3wp.exe → cmd.exe → cmd.exe → powershell.exe.
• Reconnaissance : La charge utile (payload) initiale exécute des commandes pour collecter des renseignements sur l'environnement réseau interne, notamment whoami, net user /domain, et ipconfig /all. Cet ensemble initial de commandes est conçu pour cartographier rapidement la structure du domaine interne et identifier les comptes utilisateurs de valeur, fournissant à l'attaquant un plan immédiat pour le mouvement latéral.
• Exfiltration de Données : Les informations collectées sont exfiltrées vers un point de terminaison distant contrôlé par l'attaquant (Webhook.site) à l'aide d'une charge utile PowerShell qui tente d'utiliser Invoke-WebRequest et se rabat sur curl.exe si nécessaire.

Cortex Xpanse a identifié environ 5 500 instances WSUS exposées à Internet, fournissant une métrique tangible de la surface d'attaque mondiale. Ce TTP (Tactique, Technique et Procédure) axé sur la reconnaissance indique que l'exploitation initiale est un précurseur à une compromission plus large du réseau, rendant la remédiation immédiate et le "threat hunting" primordiaux.

Directives Provisoires

Microsoft a recommandé des solutions de contournement temporaires pour atténuer le risque pour les organisations incapables de déployer immédiatement les correctifs d'urgence. Ces mesures doivent être considérées comme des solutions provisoires jusqu'à ce que l'application des correctifs puisse être complétée.

Nous recommandons aux organisations affectées de suivre ces directives pour traiter le problème, et de consulter régulièrement les communications officielles de Microsoft pour les mises à jour.

Au 27 octobre, les directives consistaient en les mesures d'atténuation suivantes :

1. Désactiver le Rôle Serveur WSUS : La désactivation du rôle WSUS sur le serveur supprime entièrement le vecteur d'attaque. Cependant, cela empêchera le serveur de gérer et de distribuer les mises à jour aux systèmes clients.
2. Bloquer les Ports à Haut Risque : Bloquer tout le trafic entrant vers les ports TCP 8530 et 8531 au niveau du pare-feu de l'hôte. Comme recommandé par Microsoft, cela supprime le vecteur d'attaque mais empêchera le serveur de gérer et de distribuer les mises à jour.

Requêtes de Threat Hunting Managé de Unit 42

L'équipe de "Managed Threat Hunting" de Unit 42 continue de traquer toute tentative d'exploitation de cette CVE chez nos clients de Services Managés, en utilisant Cortex XDR et la requête XQL ci-dessous. Les clients de Cortex XDR qui n'utilisent pas les Services Managés de Unit 42 peuvent également utiliser la requête XQL suivante pour rechercher des signes d'exploitation.

Conclusion

Sur la base de la quantité d'informations publiquement disponibles, de la facilité d'utilisation et de l'efficacité de cet exploit, Palo Alto Networks recommande vivement de suivre les directives de Microsoft pour protéger votre organisation.

Cette vulnérabilité et sa transformation en arme ("weaponization") illustrent comment les erreurs de configuration permettent l'exploitation. Bien que la vulnérabilité WSUS fournisse le vecteur technique, son impact potentiellement grave est une conséquence directe de lacunes dans l'hygiène de sécurité.

L'exposition d'un service à vocation interne, tel que WSUS, sur internet constitue une erreur de configuration significative qui élève une vulnérabilité de serveur localisée au rang d'une potentielle compromission de la chaîne d'approvisionnement (supply-chain) à l'échelle de l'entreprise. Cela souligne qu'une gestion rigoureuse des actifs et une segmentation réseau disciplinée sont des contrôles de sécurité critiques, essentiels pour atténuer l'escalade de failles isolées en brèches organisationnelles systémiques.

Palo Alto Networks a partagé ses découvertes avec les autres membres de la Cyber Threat Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour déployer rapidement des protections à leurs clients et pour perturber systématiquement les cyber-acteurs malveillants. En savoir plus sur la Cyber Threat Alliance.

Les clients de Palo Alto Networks sont mieux protégés par nos produits, comme listé ci-dessous. Nous mettrons à jour ce bulletin de menace (threat brief) à mesure que de nouvelles informations pertinentes deviendront disponibles.

Protections des Produits Palo Alto Networks pour la CVE-2025-59287

Les clients de Palo Alto Networks peuvent tirer parti de diverses protections et mises à jour de produits pour aider à identifier et à se défendre contre cette menace.

Si vous pensez avoir été compromis ou si vous avez une affaire urgente, contactez l'équipe d'Intervention sur Incident de Unit 42 ou appelez :

• Amérique du Nord : Numéro gratuit : +1 (866) 486-4842 (866.4.UNIT42)
• Royaume-Uni : +44.20.3743.3660
• Europe et Moyen-Orient : +31.20.299.3130
• Asie : +65.6983.8730
• Japon : +81.50.1790.0200
• Australie : +61.2.4062.7950
• Inde : 000 800 050 45107

Cortex XDR et XSIAM

Cortex XDR et XSIAM aident à protéger contre les activités de post-exploitation grâce à une approche de protection multi-couches.

Indicateurs de Compromission

• hxxp://webhook[.]site/22b6b8c8-2e07-4878-a681-b772e569aa6a