1./ Tổng quan và phân tích
Ghi nhận lỗ hổng trong hệ thống Windows Server Update Services và đang được cảnh báo khai thác tích cực trên Internet.
Tóm tắt:
| STT | Lỗ hổng | Mô tả | Mức độ |
| 1 | CVE-2025-59287 | Lỗ hổng xảy ra do deserialization dữ liệu không tin cậy trong WSUS. WSUS chấp nhận một event/request chứa dữ liệu đã được serialise dữ liệu này không được kiểm tra hợp lệ, kẻ tấn công có thể khiến WSUS deserialize đối tượng độc hại khiến mã tùy ý. Kết quả khai thác thành công là thực thi mã từ xa | Nghiêm trọng |
Điều kiện khai thác lỗ hổng:
- Kẻ tấn công không cần xác thực vào hệ thống, có thể khai thác bằng cách gửi các request HTTP được chế tạo đặc biệt tới WSUS endpoint và gây RCE. Vì vậy nếu WSUS được “public” ra Internet hoặc có cổng mạng không chặt chẽ thì bị rủi ro cao. Không cần tương tác người dùng
2./ Khuyến nghị
- Kiểm tra, rà soát và xác minh đối với các cảnh báo lỗ hổng nếu phía ABBank có sử dụng phần mềm nằm trong cảnh báo thì thực hiện nâng cấp bản vá theo khuyến nghị của nhà phát hành.
- Không public hệ thống WSUS trên môi trường internet, thực hiện giới hạn truy cập tới WSUS. Giới hạn truy cập tới port 8530/8531 trên WSUS.
- Giám sát đối với các HTTP Request tới các endpoint như sau:
| – POST /ReportingWebService/ReportingWebService.asmx (get_server_id)
– POST /SimpleAuthWebService/SimpleAuth.asmx (get_auth_cookie) – POST /ClientWebService/Client.asmx (get_reporting_cookie) – POST /ReportingWebService/ReportingWebService.asmx (send_malicious_event) – POST /ApiRemoting30/WebService.asmxs |
- Giám sát các tiến trình trên hệ thống khi phát hiện các hành vi bất thường:
| – wsusservice.exe → cmd.exe → cmd.exe → powershell.exe
– w3wp.exe → cmd.exe → cmd.exe → powershell.exe |
Nếu thấy cmd.exe/powershell.exe được spawn bởi wsusservice.exe hoặc w3wp.exe
3./ Các phiên bản ảnh hưởng và phiên bản cần nâng cấp
| CVE | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| CVE-2025-59287 | Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2025 Windows Server 2022, 23H2 Edition (Server Core installation) Windows Server 2025 (Server Core installation) Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019 |
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5070886 https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5070887
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5070882 https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5070879 https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5070884 https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5070883
|
*** Nguồn tham khảo:
