WSUS 高危漏洞 CVE-2025-59287 積極利用與緊急應對措施

2025 年 10 月，微軟 Windows Server Update Services（WSUS）被曝出一項未經授權的遠端程式碼執行漏洞（CVE‑2025‑59287），CVSS 9.8 分數顯示其風險極高。漏洞源於 WSUS 在處理不受信任物件時的非安全序列化，允許攻擊者以單純的網路請求即可在未授權的伺服器上以 SYSTEM 權限執行任意程式碼。此漏洞於 10 月 14 日被披露，微軟 Patch Tuesday 版中雖已修補，但未能完全消除風險，隨後在 10 月 23 日發佈緊急離線更新（OOB），但已被報告在上線後數小時內被活躍利用。^(Unit42)

技術深度：漏洞原理與利用流程

WSUS 透過 Windows 服務模式運行，並在內部使用 WCF 進行事件傳輸。漏洞實際上是 WSUS 在反序列化傳入的事件物件時缺乏嚴格的類型檢查，導致攻擊者能夠構造偽造的 UpdatePackage 對象，並在伺服器端觸發 ProcessEvent 方法，進而執行任意命令。由於此流程不需要身份驗證，任何能夠連線至 WSUS 服務（預設為 TCP 8530/8531）的主機即為目標。^(Zafran)

利用流程可簡化為三步驟：

1️⃣ 準備惡意序列化資料，包裝目標命令或載荷。
2️⃣ 透過 HTTP POST 或 HTTPS POST 把資料送往 WSUS 服務。
3️⃣ WSUS 服務在反序列化後直接執行，獲得 SYSTEM 權限。

此流程不需要任何使用者互動，單一請求即可完成攻擊，並可迅速擴散至內部網路。^(ArcticWolf)

威脅景觀：誰在利用？何時被利用？

根據 Dutch National Cyber Security Centre（NCSC）報告，漏洞在 10 月 24 日即被確認為活躍利用，且多個組織的 WSUS 伺服器在幾小時內已被攻擊者取得完全控制。CISA 在 10 月 29 日的警示中指出，已將該漏洞納入「已知被利用漏洞」目錄，並警告各機構即刻採取補救措施。^(CISA)

受影響的產品包括 Windows Server 2012、2016、2019、2022 以及 2025 版，且僅在啟用 WSUS Server Role 時才會暴露於網路。實際上，WSUS 不是預設啟用的功能，但許多企業出於簡化補丁管理的考量，已在多台伺服器上安裝並啟用此服務。^{(Wisconsin KB)}

即時應對措施：補丁、隔離、監控

1. 立即安裝 OOB 更新

微軟已於 10 月 23 日釋出離線更新，完整修補了 CVE‑2025‑59287。建議所有啟用 WSUS 的 Windows Server 立即執行下列命令，並確保重啟完成。

📂 收合（點我收起）

wusa.exe C:pathtoCVE-2025-59287-WSUS-Update.msu /quiet /norestart

若使用 WSUS 服務作為代理，亦須重啟該服務以確保更新生效。

2. 暫時禁用 WSUS 服務

在更新完成前，若無法立即部署補丁，可考慮暫停 WSUS 服務，以阻斷外部請求。

📂 收合（點我收起）

sc stop wps

若伺服器僅用於內部管理，亦可將其移至受控子網，僅允許受信任的管理機器存取。^(ArcticWolf)

3. 加強網路邊界防護

限制 WSUS 端口（8530/8531）僅允許內部管理 IP。
在防火牆或 WAF 上設定速率限制、內容過濾。
啟用 SSL/TLS 加密，避免明文傳輸。

4. 監控與偵測

啟用 Windows 防火牆日誌，捕捉異常的 POST 請求。
監控 WSUS 事件日誌（事件 ID 1001、1002），偵測異常錯誤或崩潰。
部署 IDS/IPS，設定「可疑反序列化請求」偵測規則。

長期防禦策略：安全最佳實踐

最小權限原則：將 WSUS 服務執行帳戶限制於非 SYSTEM 權限。
定期安全測試：使用漏洞掃描器（例如 Nessus、Qualys）定期檢查 WSUS 端點。
代碼審查：若自行開發 WSUS 擴充程式，必須使用安全序列化庫，避免手動反序列化。
災難復原：確保 WSUS 伺服器備份完整，並能快速還原至安全狀態。
安全意識訓練：提升內部管理人員對 WSUS 服務安全風險的認知。

示例：使用 PowerShell 進行快速修補與驗證

📂 收合（點我收起）

# 檢查 WSUS 服務是否已啟用
Get-WindowsFeature -Name UpdateServices-Server

# 下載並安裝 OOB 更新
Invoke-WebRequest -Uri "https://download.microsoft.com/.../CVE-2025-59287-WSUS-Update.msu" -OutFile "$env:TEMPCVE-2025-59287.msu"
wusa.exe "$env:TEMPCVE-2025-59287.msu" /quiet /norestart

# 重新啟動 WSUS 服務
Restart-Service wps

MITRE ATT&CK 對應

T1203 – Exploitation for Privilege Escalation (利用非授權遠端程式碼執行提升權限)
T1190 – Exploit Public-Facing Application (攻擊公開面向的應用程式 – WSUS 服務屬於內部面向，但仍屬於可公開訪問的服務)
T1071 – Standard Application Layer Protocol (利用 HTTP/HTTPS 傳輸惡意載荷)
T1059 – Command and Scripting Interpreter (執行惡意命令或腳本)

結論

CVE‑2025‑59287 的發現提醒企業在維護核心基礎設施時，必須保持更新的即時性與完整性。雖然微軟已於 10 月 23 日釋出緊急 OOB 更新，但漏洞在 10 月 24 日即被活躍利用，證實補丁發布後仍需即時監控與防禦。企業應立即確認 WSUS 服務的更新狀態，並採取網路隔離、訪問控制、日誌偵測等多層防禦措施，以降低長期風險。