CVE-2025-59287 omogućava udaljenom, neautentifikovanom napadaču izvršavanje proizvoljnog koda, a dostupan je i PoC exploit.
Microsoft je u četvrtak objavio vanredna ažuriranja kako bi zakrpio kritičnu ranjivost koja pogađa Windows Server Update Service (WSUS), a eksploatacija ove greške zabilježena je svega nekoliko sati kasnije.
WSUS je komponenta operativnog sistema Windows Server koja omogućava IT administratorima centralizovano upravljanje i distribuciju ažuriranja i zakrpa za Microsoft proizvode unutar korporativne mreže.
U bezbjednosnom upozorenju objavljenom na Patch Tuesday, Microsoft je informisao korisnike o ranjivosti CVE-2025-59287 – udaljenom izvršavanju koda u WSUS komponenti – koja utiče na verzije Windows Server 2012, 2016, 2019, 2022 i 2025.
Tehnološki gigant je 23. oktobra ažurirao upozorenje kako bi obavijestio korisnike da je javno dostupan PoC exploit i da je objavljeno dodatno ažuriranje koje bi trebalo u potpunosti da otkloni CVE-2025-59287.
„Udaljeni, neautentifikovani napadač mogao bi poslati posebno kreiran događaj koji pokreće nesigurnu deserializaciju objekta u zastarjelom mehanizmu serijalizacije, što može dovesti do udaljenog izvršavanja koda“, saopštio je Microsoft.
Tehnički detalji i PoC exploit za CVE-2025-59287 objavljeni su 18. oktobra od strane bezbjednosne kompanije HawkTrace, koja je upozorila da neautentifikovani haker može iskoristiti ovu grešku za izvršavanje proizvoljnog koda sa privilegijama System naloga.
Kompanija Eye Security upozorila je u petak da je zabilježila aktivnu eksploataciju ranjivosti CVE-2025-59287 i istakla da je oko 2.500 WSUS instanci širom svijeta i dalje izloženo napadima.
Nacionalni centar za sajber bezbjednost holandske vlade takođe je u petak potvrdio da je svjestan aktivne eksploatacije.
Ranjivost CVE-2025-59287 odnosi se na WSUS Server Role, koji nije podrazumijevano omogućen na Windows Serveru. Onemogućavanje WSUS Server Role funkcije može poslužiti kao privremena mjera dok se zakrpa ne primijeni.
Microsoftovo upozorenje sadrži procjenu „exploitation more likely“, što znači da je eksploatacija vjerovatna, ali kompanija još uvijek nije zvanično potvrdila aktivne napade.
Izvor: SecurityWeek