Уязвимост в WSUS позволи кражба на чувствителни данни
Sophos потвърди активна експлоатация на критична уязвимост (CVE-2025-59287) в Windows Server Update Services (WSUS), която позволява отдалечено изпълнение на код. След публичното разкриване и публикуването на PoC код, Microsoft издаде извънредна актуализация на 23 октомври.
Изследователите на Sophos Counter Threat Unit са засекли атаки още на 24 октомври, при които компрометирани WSUS сървъри стартират PowerShell скриптове, събиращи външния IP, потребители от Active Directory и мрежови конфигурации. Данните се изпращат към публични Webhook.site адреси, достъпни за всеки, притежаващ линка.
Жертви са университети, технологични, производствени и здравни организации, основно в САЩ. Препоръките включват незабавно инсталиране на корекциите, ограничаване на достъпа до портове 8530/8531 и проверка на логовете за признаци на компрометиране.
Съвет към, вас, системни администратори: WSUS не трябва да бъде достъпен директно от интернет — това е вътрешен инструмент и излагането му онлайн създава ненужен риск от компрометиране.