Microsoft łata krytyczną lukę w WSUS, ale psuje Hotpatching na Windows Server 2025. Co robić? - Security Bez Tabu

Microsoft łata krytyczną lukę w WSUS, ale psuje Hotpatching na Windows Server 2025. Co robić?

Wprowadzenie do problemu / definicja luki

Microsoft wydał awaryjną poprawkę dla Windows Server Update Services (WSUS), która usuwa krytyczną podatność CVE-2025-59287 (zdalne wykonanie kodu przez deserializację niezaufanych danych). Niestety, pierwszy out-of-band patch KB5070881 spowodował u części maszyn Windows Server 2025 wypisanie z kanału Hotpatch (utrata „hotpatch enrollment”), co tymczasowo uniemożliwia stosowanie poprawek bez restartu. Microsoft wstrzymał dystrybucję tego wydania na hosty z Hotpatch i udostępnił bezpieczną poprawkę KB5070893.

W skrócie

  • Luka: CVE-2025-59287 (CVSS 9.8), RCE w usługach raportowania WSUS.
  • Eksploatacja: potwierdzona „in the wild”; CISA dodała do KEV i nakazała pilne łatanie.
  • Patch OOB #1 (KB5070881): naprawia lukę, ale na części serwerów 2025 wypisuje z Hotpatch.
  • Patch OOB #2 (KB5070893): adresuje CVE bez psucia Hotpatch – zalecane wdrożenie.
  • Ekspozycja w sieci: tysiące publicznie widocznych instancji WSUS na portach 8530/8531; obserwacje skanowań i ataków.

Kontekst / historia / powiązania

Pierwsze informacje o luce pojawiły się 14 października (Patch Tuesday). Po publikacji PoC oraz sygnałach o aktywnej eksploatacji Microsoft wypuścił 23–24 października awaryjne aktualizacje OOB. W krótkim czasie CISA włączyła CVE-2025-59287 do Known Exploited Vulnerabilities i wydała ostrzeżenie z terminem na wdrożenie poprawek w systemach federalnych w USA.

Analiza techniczna / szczegóły luki

CVE-2025-59287 to błąd deserializacji niezaufanych danych w komponentach raportowania WSUS. Umożliwia on niezalogowanemu napastnikowi zdalne wykonanie kodu z uprawnieniami SYSTEM po sieci, jeżeli serwer WSUS jest osiągalny (typowo TCP 8530/8531). NVD klasyfikuje problem jako CWE-502 z wektorem AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Co poszło nie tak z KB5070881?

Microsoft potwierdził, że niewielka liczba maszyn Windows Server 2025 zapisanych do Hotpatch otrzymała wadliwy update, po czym straciła status hotpatch enrollment. Skutkiem jest brak hotpatchy w listopadzie i grudniu; takie hosty dostaną standardowe „Monthly Cumulative Updates” z restartem i wrócą na „pociąg” Hotpatch dopiero po styczniowym baseline 2026.

Jak to naprawiono?

Następnego dnia Microsoft wydał KB5070893 – aktualizację zabezpieczeń dla WSUS, która nie zrywa Hotpatch. Dodatkowo tymczasowo ukryto szczegóły błędów synchronizacji w konsoli WSUS, by zamknąć wektor ataku.

Praktyczne konsekwencje / ryzyko

  • Łańcuch ataku: przejęcie WSUS = przejęcie „zaufanego źródła aktualizacji” → możliwość lateral movement/użycia złośliwych pakietów w organizacji. (Wnioski na bazie charakteru roli WSUS i opisu CVE).
  • Ekspozycja: setki–tysiące instancji z otwartymi portami 8530/8531 obserwowane w skanach; media branżowe odnotowały aktywne nadużycia.
  • Dostępność usług: serwery dotknięte KB5070881 mogą chwilowo stracić Hotpatch, co wymusza planowane restarty w listopadzie i grudniu.

Rekomendacje operacyjne / co zrobić teraz

  1. Sprawdź, czy host ma Hotpatch i czy zainstalowano KB5070881.
    • Jeśli TAK (Windows Server 2025 + Hotpatch + KB5070881): zaplanuj standardowe LCU z restartem w listopadzie i grudniu; powrót do Hotpatch nastąpi po styczniowym baseline 2026.
    • Jeśli NIE (nie wdrożono KB5070881): zainstaluj KB5070893 (Windows Update → Pause → Unpause → Scan). To utrzymuje „pociąg Hotpatch”.
  2. Natychmiast załatataj WSUS pod CVE-2025-59287.
    Wdrożenie najnowszego OOB jest wymagane zgodnie z zaleceniami CISA.
  3. Zredukuj ekspozycję sieciową:
    • Ogranicz dostęp do konsoli/endpointów WSUS do adresów admin/netops (IP allow-list, VPN, segmentacja).
    • Zablokuj publiczny dostęp do TCP 8530/8531 (edge/WAF/NGFW). (Praktyka wywiedziona z charakteru usługi i doniesień o skanach).
  4. Monitoruj wskaźniki nadużycia:
    • Nietypowe żądania do /ApiRemoting30/WebService.asmx i usług raportowania, anomalie w logach IIS WSUS.
    • Nagłe zmiany zatwierdzeń aktualizacji, niespodziewane pakiety/delta approvals.
    • Koreluj z IOC z bieżących alertów branżowych/CISA.
  5. Plan B (awaria usług):
    • Jeżeli środowisko jest krytyczne i nie możesz szybko wdrożyć poprawki, czasowo odłącz WSUS (przestaw klientów na Windows Update for Business / Intune) do czasu patchowania. (Zalecenie spójne z ostrzeżeniami CISA, by ograniczyć ryzyko eksploatacji).

Różnice / porównania z innymi przypadkami

  • KB5070881 vs KB5070893: Obie łatają CVE-2025-59287, ale tylko KB5070881 (pierwsze wydanie OOB) mogło wypisać serwer 2025 z Hotpatch. KB5070893 robi to samo bez ubocznych skutków dla Hotpatch.
  • Zmiana funkcjonalna WSUS: Po załataniu nie są wyświetlane szczegóły błędów synchronizacji – to zamierzona modyfikacja bezpieczeństwa.

Podsumowanie / kluczowe wnioski

  • Patchuj teraz WSUS przeciwko CVE-2025-59287 – podatność jest aktywnie wykorzystywana.
  • Jeśli korzystasz z Windows Server 2025 + Hotpatch, unikaj KB5070881; zastosuj KB5070893.
  • Ogranicz dostęp sieciowy do WSUS i monitoruj logi – przejęcie WSUS = punkt ciężki dla całej organizacji.

Źródła / bibliografia

  1. BleepingComputer: Microsoft: Patch for WSUS flaw disabled Windows Server hotpatching. (BleepingComputer)
  2. Microsoft Support – KB5070881 (OOB) – znane problemy/Hotpatch. (Microsoft Support)
  3. Microsoft Support – KB5070893 – bezpieczna łatka WSUS + ukrycie detali błędów. (Microsoft Support)
  4. CISA – alert dot. OOB aktualizacji i wpis do KEV. (cisa.gov)
  5. NVD – karta CVE-2025-59287 (CVSS/CWE/opis RCE). (NVD)