{"id":163065,"date":"2025-11-03T07:25:53","date_gmt":"2025-11-03T15:25:53","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=163065"},"modified":"2025-11-05T06:16:03","modified_gmt":"2025-11-05T14:16:03","slug":"microsoft-cve-2025-59287","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/","title":{"rendered":"Ex\u00e9cution de code \u00e0 cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploit\u00e9e \"in the wild\" (Mis \u00e0 jour le 3 novembre)"},"content":{"rendered":"<h2><a id=\"post-163065-_sqw1zmhufltm\"><\/a><strong>Synth\u00e8se\u00a0<\/strong><\/h2>\n<p>Le 14 octobre 2025, une vuln\u00e9rabilit\u00e9 critique d'ex\u00e9cution de code \u00e0 distance (RCE) non authentifi\u00e9e a \u00e9t\u00e9 identifi\u00e9e dans les services WSUS (Windows Server Update Services) de Microsoft, un composant d'entreprise essentiel pour la gestion des mises \u00e0 jour. Le correctif initial de Microsoft lors du \"Patch Tuesday\" d'octobre n'a pas enti\u00e8rement r\u00e9solu la faille, n\u00e9cessitant une mise \u00e0 jour de s\u00e9curit\u00e9 d'urgence hors bande publi\u00e9e le 23 octobre 2025. Quelques heures apr\u00e8s cette mise \u00e0 jour d'urgence, l'Unit 42 et d'autres chercheurs en s\u00e9curit\u00e9 ont observ\u00e9 une exploitation active \"in the wild\". La combinaison d'une RCE exploitable \u00e0 distance, non authentifi\u00e9e, dans un service d'infrastructure central, associ\u00e9e \u00e0 une exploitation active observ\u00e9e \"in the wild\", repr\u00e9sente un risque grave et urgent.<\/p>\n<p>Les d\u00e9tails cl\u00e9s de la menace sont r\u00e9sum\u00e9s ci-dessous :<\/p>\n<ul>\n<li><strong>Vuln\u00e9rabilit\u00e9<\/strong> : Ex\u00e9cution de code \u00e0 distance (RCE) critique dans Windows Server Update Services (WSUS), suivie sous la r\u00e9f\u00e9rence CVE-2025-59287 (CVSS 9.8).<\/li>\n<li><strong>Impact<\/strong> : Permet \u00e0 un attaquant distant non authentifi\u00e9 d'ex\u00e9cuter du code arbitraire avec des privil\u00e8ges syst\u00e8me sur les serveurs affect\u00e9s.<\/li>\n<li><strong>Statut<\/strong> : Activement exploit\u00e9e. Des acteurs malveillants ont \u00e9t\u00e9 observ\u00e9s en train d'exploiter la vuln\u00e9rabilit\u00e9 quelques heures seulement apr\u00e8s la publication par Microsoft d'un correctif d'urgence le 23 octobre.<\/li>\n<li><strong>Urgence<\/strong> : L'agence am\u00e9ricaine pour la cybers\u00e9curit\u00e9 et la s\u00e9curit\u00e9 des infrastructures (CISA) a ajout\u00e9 cette vuln\u00e9rabilit\u00e9 \u00e0 son catalogue des vuln\u00e9rabilit\u00e9s connues et exploit\u00e9es (KEV) le 24 octobre, soulignant le risque imm\u00e9diat.<\/li>\n<\/ul>\n<p>Pour les organisations incapables de d\u00e9ployer imm\u00e9diatement les correctifs d'urgence, Microsoft a<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-59287\" target=\"_blank\" rel=\"noopener\"> recommand\u00e9<\/a> des solutions de contournement temporaires pour att\u00e9nuer le risque.<\/p>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s contre les activit\u00e9s li\u00e9es \u00e0 la CVE-2025-59287 gr\u00e2ce aux produits et services suivants :<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> avec <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<\/ul>\n<p>L'<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe d'Intervention sur Incident de Unit 42<\/a> peut \u00e9galement \u00eatre sollicit\u00e9e pour aider en cas de compromission ou pour fournir une \u00e9valuation proactive afin de r\u00e9duire vos risques.<\/p>\n<table style=\"width: 97.2794%;\">\n<thead>\n<tr style=\"height: 26px;\">\n<td style=\"width: 35%; height: 26px;\"><b>Vuln\u00e9rabilit\u00e9s Discut\u00e9es<\/b><\/td>\n<td style=\"width: 201.261%; height: 26px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2025-59287-fr\/\" target=\"_blank\" rel=\"noopener\"><b>CVE-2025-59287<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/microsoft-fr\/\" target=\"_blank\" rel=\"noopener\">Microsoft<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-163065-_ki1wlmreinq7\"><\/a><strong>D\u00e9tails de la CVE-2025-59287<\/strong><\/h2>\n<p>WSUS est un outil fondamental pour les administrateurs IT, permettant la gestion centralis\u00e9e et la distribution des mises \u00e0 jour des produits Microsoft sur les r\u00e9seaux d'entreprise. Son r\u00f4le de source de confiance pour les correctifs logiciels en fait une cible de grande valeur ; une compromission d'un serveur WSUS peut servir de point d'ancrage pour un mouvement lat\u00e9ral et une compromission \u00e9tendue du r\u00e9seau.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 r\u00e9side dans une \u00ab<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-59287\" target=\"_blank\" rel=\"noopener\"> d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e de donn\u00e9es non fiables<\/a> \u00bb. Les chercheurs en s\u00e9curit\u00e9 ont identifi\u00e9 plusieurs chemins d'attaque, notamment l'envoi d'une requ\u00eate sp\u00e9cialement con\u00e7ue au point de terminaison (endpoint) <span style=\"font-family: 'courier new', courier, monospace;\">GetCookie()<\/span>, qui am\u00e8ne le serveur \u00e0 d\u00e9s\u00e9rialiser incorrectement un objet <span style=\"font-family: 'courier new', courier, monospace;\">AuthorizationCookie<\/span> \u00e0 l'aide du <span style=\"font-family: 'courier new', courier, monospace;\">BinaryFormatter<\/span> non s\u00e9curis\u00e9. Un autre chemin cible le <span style=\"font-family: 'courier new', courier, monospace;\">ReportingWebService<\/span> pour d\u00e9clencher une d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e via <span style=\"font-family: 'courier new', courier, monospace;\">SoapFormatter<\/span>. Dans les deux cas, un attaquant distant non authentifi\u00e9 peut tromper le syst\u00e8me pour qu'il ex\u00e9cute du code malveillant avec le plus haut niveau de privil\u00e8ges syst\u00e8me.<\/p>\n<p>La port\u00e9e de cette vuln\u00e9rabilit\u00e9 est sp\u00e9cifique aux syst\u00e8mes sur lesquels le r\u00f4le WSUS est activ\u00e9 :<\/p>\n<ul>\n<li><strong>Logiciels Affect\u00e9s<\/strong> : Microsoft Windows Server 2012, 2012 R2, 2016, 2019, 2022 (y compris l'\u00e9dition 23H2) et 2025.<\/li>\n<li><strong>Condition Requise<\/strong> : La vuln\u00e9rabilit\u00e9 n'affecte que les serveurs o\u00f9 le R\u00f4le Serveur WSUS est activ\u00e9. Cette fonctionnalit\u00e9 n'est pas activ\u00e9e par d\u00e9faut.<\/li>\n<\/ul>\n<h2><a id=\"post-163065-_czx8ii6lt5bf\"><\/a><strong>Port\u00e9e Actuelle de l'Attaque Utilisant la CVE-2025-59287<\/strong><\/h2>\n<p>Suite \u00e0 la divulgation publique d'un exploit de type \"proof-of-concept\", Unit 42, ainsi que d'autres soci\u00e9t\u00e9s de s\u00e9curit\u00e9, ont rapidement d\u00e9tect\u00e9 des scans et des exploitations actifs.<\/p>\n<p>L'analyse des attaques observ\u00e9es par Unit 42 r\u00e9v\u00e8le une m\u00e9thodologie coh\u00e9rente ax\u00e9e sur l'acc\u00e8s initial et la reconnaissance du r\u00e9seau interne.<\/p>\n<ul>\n<li><strong>Acc\u00e8s Initial<\/strong> : Les attaquants ciblent les instances WSUS expos\u00e9es publiquement sur leurs ports TCP par d\u00e9faut, 8530 (HTTP) et 8531 (HTTPS).<\/li>\n<li><strong>Ex\u00e9cution<\/strong> : Des commandes PowerShell malveillantes sont ex\u00e9cut\u00e9es via des processus parents sp\u00e9cifiques. Les cha\u00eenes de processus observ\u00e9es en forensic incluent <span style=\"font-family: 'courier new', courier, monospace;\">wsusservice.exe \u2192 cmd.exe \u2192 cmd.exe \u2192 powershell.exe et w3wp.exe \u2192 cmd.exe \u2192 cmd.exe \u2192 powershell.exe<\/span>.<\/li>\n<li><strong>Reconnaissance<\/strong> : La charge utile (payload) initiale ex\u00e9cute des commandes pour collecter des renseignements sur l'environnement r\u00e9seau interne, notamment <span style=\"font-family: 'courier new', courier, monospace;\">whoami, net user \/domain<\/span>, et <span style=\"font-family: 'courier new', courier, monospace;\">ipconfig \/all<\/span>. Cet ensemble initial de commandes est con\u00e7u pour cartographier rapidement la structure du domaine interne et identifier les comptes utilisateurs de valeur, fournissant \u00e0 l'attaquant un plan imm\u00e9diat pour le mouvement lat\u00e9ral.<\/li>\n<li><strong>Exfiltration de Donn\u00e9es<\/strong> : Les informations collect\u00e9es sont exfiltr\u00e9es vers un point de terminaison distant contr\u00f4l\u00e9 par l'attaquant (Webhook.site) \u00e0 l'aide d'une charge utile PowerShell qui tente d'utiliser <span style=\"font-family: 'courier new', courier, monospace;\">Invoke-WebRequest<\/span> et se rabat sur <span style=\"font-family: 'courier new', courier, monospace;\">curl.exe<\/span> si n\u00e9cessaire.<\/li>\n<\/ul>\n<p>Cortex Xpanse a identifi\u00e9 environ 5 500 instances WSUS expos\u00e9es \u00e0 Internet, fournissant une m\u00e9trique tangible de la surface d'attaque mondiale. Ce TTP (Tactique, Technique et Proc\u00e9dure) ax\u00e9 sur la reconnaissance indique que l'exploitation initiale est un pr\u00e9curseur \u00e0 une compromission plus large du r\u00e9seau, rendant la rem\u00e9diation imm\u00e9diate et le \"threat hunting\" primordiaux.<\/p>\n<h2><a id=\"post-163065-_yav5nkdarlqj\"><\/a><strong>Directives Provisoires<\/strong><\/h2>\n<p>Microsoft a<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-59287\" target=\"_blank\" rel=\"noopener\"> recommand\u00e9<\/a> des solutions de contournement temporaires pour att\u00e9nuer le risque pour les organisations incapables de d\u00e9ployer imm\u00e9diatement les correctifs d'urgence. Ces mesures doivent \u00eatre consid\u00e9r\u00e9es comme des solutions provisoires jusqu'\u00e0 ce que l'application des correctifs puisse \u00eatre compl\u00e9t\u00e9e.<\/p>\n<p>Nous recommandons aux organisations affect\u00e9es de suivre ces directives pour traiter le probl\u00e8me, et de consulter r\u00e9guli\u00e8rement les communications officielles de Microsoft pour les mises \u00e0 jour.<\/p>\n<p>Au 27 octobre, les directives consistaient en les mesures d'att\u00e9nuation suivantes :<\/p>\n<ol>\n<li><strong>D\u00e9sactiver le R\u00f4le Serveur WSUS<\/strong> : La d\u00e9sactivation du r\u00f4le WSUS sur le serveur supprime enti\u00e8rement le vecteur d'attaque. Cependant, cela emp\u00eachera le serveur de g\u00e9rer et de distribuer les mises \u00e0 jour aux syst\u00e8mes clients.<\/li>\n<li><strong>Bloquer les Ports \u00e0 Haut Risque<\/strong> : Bloquer tout le trafic entrant vers les ports TCP 8530 et 8531 au niveau du pare-feu de l'h\u00f4te. Comme recommand\u00e9 par Microsoft, cela supprime le vecteur d'attaque mais emp\u00eachera le serveur de g\u00e9rer et de distribuer les mises \u00e0 jour.<\/li>\n<\/ol>\n<h2><a id=\"post-163065-_kmcuyts7w2sg\"><\/a><strong>Requ\u00eates de Threat Hunting Manag\u00e9 de Unit 42<\/strong><\/h2>\n<p>L'\u00e9quipe de \"Managed Threat Hunting\" de Unit 42 continue de traquer toute tentative d'exploitation de cette CVE chez nos clients de Services Manag\u00e9s, en utilisant Cortex XDR et la requ\u00eate XQL ci-dessous. Les clients de Cortex XDR qui n'utilisent pas les Services Manag\u00e9s de Unit 42 peuvent \u00e9galement utiliser la requ\u00eate XQL suivante pour rechercher des signes d'exploitation.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Title: WSUS RCE - Potentail CVE-2025-59287 exploitation\r\n\/\/ Description: Query looks for potential CVE-2025-59287 exploitation via identifying children processes of the WSUS service and IIS.\r\n\/\/ MITRE ATT&amp;CK TTP ID: T1190\r\ndataset = xdr_data \r\n| fields _time, agent_hostname, action_process_username, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_cwd, action_process_file_info, action_process_file_size, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_image_sha256, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, causality_actor_process_image_sha256, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_command_line, os_actor_process_image_sha256, agent_id, agent_os_type, agent_os_sub_type, event_type, event_sub_type, event_id\r\n| filter agent_os_type = ENUM.AGENT_OS_WINDOWS and event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START \r\n| filter \r\n    (lowercase(actor_process_image_name) = \"wsusservice.exe\" \r\n        or lowercase(causality_actor_process_image_name) = \"wsusservice.exe\") \r\n    or (lowercase(causality_actor_process_image_name) = \"w3wp.exe\" \r\n        and lowercase(causality_actor_process_command_line) contains \"wsuspool\")\r\n    or (lowercase(actor_process_image_name) = \"w3wp.exe\" \r\n        and lowercase(actor_process_command_line) contains \"wsuspool\")\r\n| filter not (lowercase(action_process_image_name) = \"svchost.exe\" and action_process_image_command_line contains \"BITS\") and lowercase(action_process_image_name) not in (\"conhost.exe\", \"csc.exe\", \"cvtres.exe\", \"oneagentdumpproc.exe\", \"vbc.exe\", \"werfault.exe\", \"*wsuscertserver.exe\", \"*wsusservice.exe\", \"w3wp.exe\")\r\n| filter not (lowercase(actor_process_image_name) = \"svchost.exe\" and actor_process_command_line contains \"BITS\")\r\n| sort asc _time<\/pre>\n<h2><a id=\"post-163065-_wgjqwot5yswm\"><\/a><strong>Conclusion<\/strong><\/h2>\n<p>Sur la base de la quantit\u00e9 d'informations publiquement disponibles, de la facilit\u00e9 d'utilisation et de l'efficacit\u00e9 de cet exploit, Palo Alto Networks recommande vivement de suivre les directives de Microsoft pour prot\u00e9ger votre organisation.<\/p>\n<p>Cette vuln\u00e9rabilit\u00e9 et sa transformation en arme (\"weaponization\") illustrent comment les erreurs de configuration permettent l'exploitation. Bien que la vuln\u00e9rabilit\u00e9 WSUS fournisse le vecteur technique, son impact potentiellement grave est une cons\u00e9quence directe de lacunes dans l'hygi\u00e8ne de s\u00e9curit\u00e9.<\/p>\n<p>L'exposition d'un service \u00e0 vocation interne, tel que WSUS, sur internet constitue une erreur de configuration significative qui \u00e9l\u00e8ve une vuln\u00e9rabilit\u00e9 de serveur localis\u00e9e au rang d'une potentielle compromission de la cha\u00eene d'approvisionnement (supply-chain) \u00e0 l'\u00e9chelle de l'entreprise. Cela souligne qu'une gestion rigoureuse des actifs et une segmentation r\u00e9seau disciplin\u00e9e sont des contr\u00f4les de s\u00e9curit\u00e9 critiques, essentiels pour att\u00e9nuer l'escalade de failles isol\u00e9es en br\u00e8ches organisationnelles syst\u00e9miques.<\/p>\n<p>Palo Alto Networks a partag\u00e9 ses d\u00e9couvertes avec les autres membres de la Cyber Threat Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des protections \u00e0 leurs clients et pour perturber syst\u00e9matiquement les cyber-acteurs malveillants. En savoir plus sur la<a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s par nos produits, comme list\u00e9 ci-dessous. Nous mettrons \u00e0 jour ce bulletin de menace (threat brief) \u00e0 mesure que de nouvelles informations pertinentes deviendront disponibles.<\/p>\n<h2><a id=\"post-163065-_ujvxd5mt9jt8\"><\/a><strong>Protections des Produits Palo Alto Networks pour la CVE-2025-59287<\/strong><\/h2>\n<p>Les clients de Palo Alto Networks peuvent tirer parti de diverses protections et mises \u00e0 jour de produits pour aider \u00e0 identifier et \u00e0 se d\u00e9fendre contre cette menace.<\/p>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une affaire urgente, contactez l'\u00e9quipe<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> d'Intervention sur Incident de Unit 42<\/a> ou appelez :<\/p>\n<ul>\n<li>Am\u00e9rique du Nord : Num\u00e9ro gratuit : +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni : +44.20.3743.3660<\/li>\n<li>Europe et Moyen-Orient : +31.20.299.3130<\/li>\n<li>Asie : +65.6983.8730<\/li>\n<li>Japon : +81.50.1790.0200<\/li>\n<li>Australie : +61.2.4062.7950<\/li>\n<li>Inde : 000 800 050 45107<\/li>\n<\/ul>\n<h3>Advanced Threat Prevention<\/h3>\n<p>Le pare-feu de nouvelle g\u00e9n\u00e9ration (<a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a>) dot\u00e9 de la souscription de s\u00e9curit\u00e9 <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> peut aider \u00e0 bloquer les attaques en s'appuyant sur les bonnes pratiques via la signature Threat Prevention suivante : <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=96657\" target=\"_blank\" rel=\"noopener\">96657<\/a> et <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=96684\">96684<\/a>.<\/p>\n<h3><a id=\"post-163065-_4o401v5fj8ru\"><\/a><strong>Cortex XDR et XSIAM<\/strong><\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> aident \u00e0 prot\u00e9ger contre les activit\u00e9s de post-exploitation gr\u00e2ce \u00e0 une approche de protection multi-couches.<\/p>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSOAR\" target=\"_blank\" rel=\"noopener\">Cortex<\/a>\u00a0 a publi\u00e9 un \"response pack\" et un \"playbook\" pour la <a href=\"https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/cve-2025-59287---microsoft-wsus-remote-code-execution\" target=\"_blank\" rel=\"noopener\">CVE-2025-59287 - Microsoft WSUS Remote Code Execution<\/a> afin d'automatiser et d'acc\u00e9l\u00e9rer le processus de mitigation.<\/p>\n<p>Ce \"playbook\" automatise les t\u00e2ches suivantes :<\/p>\n<ul>\n<li>Identifier et relever l'empreinte (fingerprinting) des h\u00f4tes WSUS via une requ\u00eate XQL<\/li>\n<li>Collecter les indicateurs issus de l'article de l'Unit 42<\/li>\n<li>D\u00e9tecter toute ligne de commande suspecte indicative de l'exploitation de cette vuln\u00e9rabilit\u00e9 via une requ\u00eate XQL<\/li>\n<li>Investiguer les lignes de commande pour identifier les indicateurs malveillants li\u00e9s \u00e0 la vuln\u00e9rabilit\u00e9<\/li>\n<li>Chasser (hunting) les indicateurs malveillants via une requ\u00eate XQL<\/li>\n<li>Isoler les serveurs WSUS compromis (n\u00e9cessite l'approbation de l'analyste)<\/li>\n<li>Bloquer les indicateurs malveillants<\/li>\n<li>Fournir des recommandations de mitigation<\/li>\n<\/ul>\n<h2><a id=\"post-163065-_qvh5e1rk69l3\"><\/a><strong>Indicateurs de Compromission<\/strong><\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/webhook[.]site\/22b6b8c8-2e07-4878-a681-b772e569aa6a<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La CVE-2025-59287 est une vuln\u00e9rabilit\u00e9 RCE critique identifi\u00e9e dans WSUS de Microsoft. Nos observations issues de cas concrets r\u00e9v\u00e8lent une m\u00e9thodologie coh\u00e9rente.<\/p>\n","protected":false},"author":23,"featured_media":163043,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8769,8850],"tags":[9727,9379,9728,9476],"product_categories":[8965,8955,9041,9053,9064,9068,9155,9151],"coauthors":[1025],"class_list":["post-163065","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-fr","category-vulnerabilities-fr","tag-cve-2025-59287-fr","tag-microsoft-fr","tag-microsoft-vulnerability-fr","tag-remote-code-execution-fr","product_categories-advanced-threat-prevention-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-cortex-xsoar-fr","product_categories-managed-threat-hunting-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Ex\u00e9cution de code \u00e0 cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploit\u00e9e &quot;in the wild&quot; (Mis \u00e0 jour le 3 novembre)<\/title>\n<meta name=\"description\" content=\"La CVE-2025-59287 est une vuln\u00e9rabilit\u00e9 RCE critique identifi\u00e9e dans WSUS de Microsoft. Nos observations issues de cas concrets r\u00e9v\u00e8lent une m\u00e9thodologie coh\u00e9rente.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Ex\u00e9cution de code \u00e0 cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploit\u00e9e &quot;in the wild&quot; (Mis \u00e0 jour le 3 novembre)\" \/>\n<meta property=\"og:description\" content=\"La CVE-2025-59287 est une vuln\u00e9rabilit\u00e9 RCE critique identifi\u00e9e dans WSUS de Microsoft. Nos observations issues de cas concrets r\u00e9v\u00e8lent une m\u00e9thodologie coh\u00e9rente.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-11-03T15:25:53+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-05T14:16:03+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Ex\u00e9cution de code \u00e0 cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploit\u00e9e \"in the wild\" (Mis \u00e0 jour le 3 novembre)","description":"La CVE-2025-59287 est une vuln\u00e9rabilit\u00e9 RCE critique identifi\u00e9e dans WSUS de Microsoft. Nos observations issues de cas concrets r\u00e9v\u00e8lent une m\u00e9thodologie coh\u00e9rente.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/","og_locale":"fr_FR","og_type":"article","og_title":"Ex\u00e9cution de code \u00e0 cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploit\u00e9e \"in the wild\" (Mis \u00e0 jour le 3 novembre)","og_description":"La CVE-2025-59287 est une vuln\u00e9rabilit\u00e9 RCE critique identifi\u00e9e dans WSUS de Microsoft. Nos observations issues de cas concrets r\u00e9v\u00e8lent une m\u00e9thodologie coh\u00e9rente.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/","og_site_name":"Unit 42","article_published_time":"2025-11-03T15:25:53+00:00","article_modified_time":"2025-11-05T14:16:03+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Ex\u00e9cution de code \u00e0 cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploit\u00e9e \"in the wild\" (Mis \u00e0 jour le 3 novembre)","datePublished":"2025-11-03T15:25:53+00:00","dateModified":"2025-11-05T14:16:03+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/"},"wordCount":1753,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","keywords":["CVE-2025-59287","Microsoft","Microsoft Vulnerability","Remote Code Execution"],"articleSection":["Menaces de grande envergure","Vuln\u00e9rabilit\u00e9s"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/","name":"Ex\u00e9cution de code \u00e0 cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploit\u00e9e \"in the wild\" (Mis \u00e0 jour le 3 novembre)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","datePublished":"2025-11-03T15:25:53+00:00","dateModified":"2025-11-05T14:16:03+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"La CVE-2025-59287 est une vuln\u00e9rabilit\u00e9 RCE critique identifi\u00e9e dans WSUS de Microsoft. Nos observations issues de cas concrets r\u00e9v\u00e8lent une m\u00e9thodologie coh\u00e9rente.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of CVE-2025-59287. Digital image of a glowing padlock symbol representing cybersecurity on a network grid with blue and orange lights."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-cve-2025-59287\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Ex\u00e9cution de code \u00e0 cistance (RCE) dans Microsoft WSUS (CVE-2025-59287) activement exploit\u00e9e \"in the wild\" (Mis \u00e0 jour le 3 novembre)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/163065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=163065"}],"version-history":[{"count":6,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/163065\/revisions"}],"predecessor-version":[{"id":164178,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/163065\/revisions\/164178"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/163043"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=163065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=163065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=163065"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=163065"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=163065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}