Advanced Threat Prevention
Cortex
Managed Threat Hunting
エグゼクティブサマリー
2025年10月14日、パッチ管理のコアエンタープライズコンポーネントであるMicrosoftのWindows Server Update Services (WSUS)において、認証不要の重大なリモートコード実行(RCE)の脆弱性が特定されました。Microsoftが10月の月例パッチチューズデーで公開した初期パッチではこの欠陥が完全には修正されず、2025年10月23日に緊急の帯域外(out-of-band)セキュリティアップデートのリリースが必要となりました。この緊急アップデートの公開から数時間以内に、Unit 42および他のセキュリティ研究者は、実環境(in the wild)での活発な悪用を観測しました。コアインフラストラクチャサービスにおけるリモートから認証なしで悪用可能なRCE、さらに実環境での活発な悪用が観測されているという事実の組み合わせは、深刻かつ緊急性の高いリスクを示しています。
脅威の主な詳細は以下の通りです。
- 脆弱性: Windows Server Update Services (WSUS) に存在する重大なリモートコード実行 (RCE) の脆弱性。CVE-2025-59287 (CVSS 9.8) として追跡。
- 影響: リモートの認証されていない攻撃者が、影響を受けるサーバー上で**SYSTEM権限(システム権限)**で任意のコードを実行可能。
- ステータス: 活発に悪用中。Microsoftが10月23日に緊急パッチをリリースしてから数時間以内に、脅威アクターによる脆弱性の悪用が観測されました。
- 緊急性: 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は10月24日、この脆弱性を**「既知の悪用された脆弱性 (KEV) カタログ」**に追加し、差し迫ったリスクであることを強調しました。
緊急パッチを直ちに展開できない組織に対し、Microsoftはリスクを軽減するための一時的な回避策を推奨しています。
パロアルトネットワークスのお客様は、以下の製品およびサービスを通じて、CVE-2025-59287に関連する活動からより強力に保護されます。
- Cortex XDR および XSIAM
Unit 42インシデント対応チームは、侵害への対応支援や、リスク低減のためのプロアクティブなアセスメントも提供可能です。
| 議論された脆弱性 | CVE-2025-59287, Microsoft |
CVE-2025-59287の詳細
WSUSはIT管理者にとって基本的なツールであり、企業ネットワーク全体でのMicrosoft製品アップデートの集中管理と配布を可能にします。ソフトウェアパッチの信頼できるソースとしてのその役割は、WSUSを価値の高いターゲット(high-value target)にします。WSUSサーバーの侵害は、ラテラルムーブメント(横展開)と広範なネットワーク侵害の足がかりを提供する可能性があります。
この脆弱性は、「信頼できないデータの安全でないデシリアライゼーション」に起因しています。セキュリティ研究者は、GetCookie() エンドポイントに特別に細工されたリクエストを送信する攻撃パスを特定しました。これにより、サーバーは安全でない BinaryFormatter を使用して AuthorizationCookie オブジェクトを不適切にデシリアライズします。別のパスは ReportingWebService をターゲットにし、 SoapFormatter を介して安全でないデシリアライゼーションを引き起こします。どちらの場合も、リモートの認証されていない攻撃者がシステムを欺き、最高レベルのsystem権限(システム権限)で悪意のあるコードを実行させることができます。
この脆弱性の範囲は、WSUSロールが有効になっているシステムに固有です。
- 影響を受けるソフトウェア: Microsoft Windows Server 2012, 2012 R2, 2016, 2019, 2022 (23H2 Editionを含む) および 2025。
- 必要な条件: この脆弱性は、WSUSサーバーロールが有効になっているサーバーにのみ影響します。この機能はデフォルトでは有効になっていません。
CVE-2025-59287を使用した攻撃の現在の範囲
概念実証(PoC)エクスプロイトが一般公開された後、Unit 42および他のセキュリティ企業は、活発なスキャンと悪用を迅速に検出しました。
Unit 42が観測した攻撃の分析から、初期アクセスと内部ネットワークの偵察に焦点を当てた一貫した方法論が明らかになりました。
- 初期アクセス: 攻撃者は、デフォルトのTCPポートである8530 (HTTP) と8531 (HTTPS) で、公開されているWSUSインスタンスをターゲットにします。
- 実行: 悪意のあるPowerShellコマンドが、特定の親プロセス経由で実行されます。観測されたフォレンジックプロセスチェーンには、wsusservice.exe → cmd.exe → cmd.exe → powershell.exe および w3wp.exe → cmd.exe → cmd.exe → powershell.exe が含まれます。
- 偵察: 初期ペイロードは、whoami、net user /domain、ipconfig /all など、内部ネットワーク環境に関する情報を収集するコマンドを実行します。この初期コマンドセットは、内部ドメイン構造を迅速に把握し、価値の高いユーザーアカウントを特定するように設計されており、攻撃者にラテラルムーブメント(横展開)のための即時の設計図を提供します。
- データ窃取: 収集された情報は、Invoke-WebRequest を試み、必要に応じて curl.exe にフォールバックするPowerShellペイロードを使用し、リモートの攻撃者が制御する Webhook.site エンドポイントに窃取されます。
Cortex Xpanseは、インターネットに公開されている約5,500のWSUSインスタンスを特定しました。これは、グローバルなアタックサーフェス(攻撃対象領域)の具体的な指標を提供します。この偵察に焦点を当てたTTP(戦術・技術・手順)は、初期の悪用がより広範なネットワーク侵害の前兆であることを示しており、即時の修復とスレットハンティングが最優先事項であることを示しています。
暫定ガイダンス
Microsoftは、緊急パッチを直ちに展開できない組織のために、リスクを軽減するための一時的な回避策を推奨しています。これらの措置は、パッチ適用が完了するまでの中間的な解決策として考慮されるべきです。
影響を受ける組織は、この問題に対処するためにこのガイダンスに従い、Microsoftの公式な情報を定期的に確認して更新情報を入手することを推奨します。
10月27日現在、ガイダンスは以下の軽減策で構成されています。
- WSUSサーバーロールを無効にする: サーバーのWSUSロールを無効にすると、攻撃ベクトルが完全に取り除かれます。ただし、これにより、サーバーはクライアントシステムへのアップデートの管理と配布ができなくなります。
- 高リスクポートをブロックする: ホストレベルのファイアウォールで、TCPポート8530および8531へのすべてのインバウンドトラフィックをブロックします。Microsoftの推奨通り、これにより攻撃ベクトルは排除されますが、サーバーはアップデートの管理と配布ができなくなります。
Unit 42 マネージドスレットハンティングクエリ
Unit 42のマネージドスレットハンティングチームは、Cortex XDRと以下のXQLクエリを使用して、マネージドサービスのお客様全体でこのCVEを悪用しようとする試みを継続的に追跡しています。Unit 42のマネージドサービスを利用していないCortex XDRのお客様も、以下のXQLクエリを使用して悪用の兆候を検索できます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
// Title: WSUS RCE - Potentail CVE-2025-59287 exploitation // Description: Query looks for potential CVE-2025-59287 exploitation via identfying children processes of the WSUS service and IIS. // MITRE ATT&CK TTP ID: T1190 dataset = xdr_data | fields _time, agent_hostname, action_process_username, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_cwd, action_process_file_info, action_process_file_size, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_image_sha256, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, causality_actor_process_image_sha256, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_command_line, os_actor_process_image_sha256, agent_id, agent_os_type, agent_os_sub_type, event_type, event_sub_type, event_id | filter agent_os_type = ENUM.AGENT_OS_WINDOWS and event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START | filter (lowercase(actor_process_image_name) = "wsusservice.exe" or lowercase(causality_actor_process_image_name) = "wsusservice.exe") or (lowercase(causality_actor_process_image_name) = "w3wp.exe" and lowercase(causality_actor_process_command_line) contains "wsuspool") or (lowercase(actor_process_image_name) = "w3wp.exe" and lowercase(actor_process_command_line) contains "wsuspool") | filter not (lowercase(action_process_image_name) = "svchost.exe" and action_process_image_command_line contains "BITS") and lowercase(action_process_image_name) not in ("conhost.exe", "csc.exe", "cvtres.exe", "vbc.exe", "werfault.exe", "*wsuscertserver.exe", "*wsusservice.exe", "w3wp.exe") | filter not (lowercase(actor_process_image_name) = "svchost.exe" and actor_process_command_line contains "BITS") | sort asc _time |
結論
公開されている情報の量、このエクスプロイトの使いやすさ、およびその有効性に基づき、パロアルトネットワークスは、組織を保護するためにMicrosoftのガイダンスに従うことを強く推奨します。
この脆弱性とそれに続く武器化は、設定の不備がいかにして悪用を可能にするかを示す実例となります。
WSUSのような内部向けサービスをパブリックインターネットに公開することは、重大な設定ミスであり、ローカライズされたサーバーの脆弱性を、企業全体のサプライチェーン侵害の可能性へとエスカレートさせます。このことは、厳格な資産管理と規律あるネットワークセグメンテーションが、個別の欠陥が組織的な侵害へとエスカレートするのを軽減するために不可欠な、重要なセキュリティコントロールであることを強調しています。
パロアルトネットワークスは、Cyber Threat Alliance (CTA) のメンバーと調査結果を共有しています。CTAメンバーはこのインテリジェンスを使用して、顧客への保護を迅速に展開し、悪意のあるサイバー攻撃者を組織的に妨害します。Cyber Threat Allianceについての詳細はこちら。
パロアルトネットワークスのお客様は、以下の製品によってより強力に保護されています。関連情報が入り次第、この脅威ブリーフを更新します。
CVE-2025-59287に対するパロアルトネットワークス製品による保護
パロアルトネットワークスのお客様は、この脅威を特定し防御するために、さまざまな製品保護とアップデートを活用できます。
侵害された可能性がある場合、または緊急の要件がある場合は、Unit 42インシデント対応チームにご連絡いただくか、以下までお電話ください。
- 北米: フリーダイヤル: +1 (866) 486-4842 (866.4.UNIT42)
- 英国: +44.20.3743.3660
- 欧州および中東: +31.20.299.3130
- アジア: +65.6983.8730
- 日本: +81.50.1790.0200
- オーストラリア: +61.2.4062.7950
- インド: 000 800 050 45107
高度な脅威防御
Advanced Threat Prevention セキュリティ サブスクリプションを適用した次世代ファイアウォールは、以下の Threat Prevention シグネチャ 96657 を介したベストプラクティスによって、攻撃のブロックを支援します。
Cortex XDR および XSIAM
Cortex XDRと XSIAM は、多層防御アプローチにより、エクスプロイト後の活動に対する防御を支援します。
侵害の痕跡 (IoC)
- hxxp://webhook[.]site/22b6b8c8-2e07-4878-a681-b772e569aa6a
主なサイバー脅威
脅威リサーチ
Unit 42 からの最新情報を取得 