WSUS 高危漏洞 CVE‑2025‑59287 實戰分析與緊急應對措施

2025年10月14日，Microsoft 公布了 WSUS（Windows Server Update Services） 的一個關鍵遠程程式碼執行漏洞 CVE‑2025‑59287。該漏洞源於不受信任資料的反序列化，允許未經身份驗證的攻擊者在 WSUS 伺服器上執行任意程式碼，且權限可達系統級別。隨著漏洞在 10 月 23 日出現了修補程式後，攻擊者已在野外展開大規模利用，並以 ShadowPad 等後門為載體擴散至企業內部網路。(Darktrace)

漏洞技術細節

WSUS 內部使用 SoapFormatter 進行事件資料的序列化與反序列化。當 WSUS 接收到一個精心構造的 SOAP 事件時，該事件會被無條件反序列化，導致攻擊者能夠注入任意 .NET 物件並在伺服器端執行。研究人員發現，漏洞利用的關鍵是觸發「Legacy Serialization」機制，並透過偽造的 EventLogRecord 物件將惡意代碼注入至執行流程中。該漏洞已被評估為 CVSS 9.8，屬於最嚴重類別。 (RunZero)

利用流程大致如下：

1. 攻擊者發送精製 SOAP 事件至 WSUS 伺服器
2. WSUS 反序列化事件，執行惡意 .NET 物件
3. 取得 SYSTEM 權限，啟動 shell (CMD / PowerShell)
4. 透過 certutil 或 curl 下載 ShadowPad 或其他後門
5. 進行橫向移動與資料外洩

已觀測到的野外活動

• ShadowPad 作為後門利用 CVE‑2025‑59287 取得初始存取，並使用 PowerCat 進行遠程 shell (CMD) 交互。(The Hacker News)
• 攻擊者利用 certutil、curl 等工具下載並安裝後門，並透過 PowerShell 執行進一步的橫向移動與資料蒐集。
• SOCPrime 報告指出，已發現超過 1.4 億台 Windows 裝置正被利用該漏洞，且有公開的 PoC 供攻擊者使用。

緊急應對措施

1. 立即部署最新安全更新

• Windows Server 2012 / 2012 R2 / 2016 / 2019 / 2022 等受影響版本，請於 10 月 23 日後立即安裝 KB5500000 以上的修補程式。
• 若使用 WSUS 服務，請先停止服務，確保更新已下載並安裝完成，再重新啟動。

2. 限制 WSUS 伺服器對外暴露

• 將 WSUS 伺服器排除於外部網路，僅允許內部管理網路連線。
• 使用防火牆規則限制只允許可信 IP 與 WSUS 伺服器通訊。
• 若必須對外提供更新，可使用代理或 VPN 隔離網段。

3. 加強監控與偵測

• 啟用 Windows Event Logging，特別是關於 WSUS 服務與 PowerShell 執行的 Log。
• 在 SIEM 中加入 CVE‑2025‑59287 相關偵測規則，例如：
    • 監測 SOAP 事件資料異常、EventLogRecord 物件
    • 監測 certutil、curl、PowerCat 之類的命令執行
• 針對遠端執行的命令與腳本，設定阻斷或警報。

4. 事件應變流程

1. 隔離受感染伺服器，阻斷所有外部連線。
2. 採集完整的系統快照與事件日誌，分析是否存在 PowerShell 逆向連線、後門程式。
3. 若發現 PowerCat 或 ShadowPad，立即將檔案隔離，執行靜態與動態分析。
4. 使用 Microsoft Defender for Endpoint 或其他 EDR 工具掃描整個網路，尋找同一類型後門。
5. 回復 WSUS 服務前，先驗證所有安全更新已生效並重新部署 WSUS。

5. 預防與長期管理

• 定期審核 WSUS 伺服器的使用者與群組權限，確保只授予必要管理者。
• 啟用「最小權限」原則，盡量避免使用 SYSTEM 帳號執行 WSUS。
• 建立「滲透測試」或「漏洞掃描」週期，確保 WSUS 系統未再被曝光。
• 教育內部 IT 與安全團隊，辨識並回應反序列化攻擊與後門活動。

MITRE ATT&CK 對應

• T1203 – Exploitation for Privilege Escalation (利用不受信任資料反序列化取得 SYSTEM 權限)
• T1059.001 – PowerShell (使用 PowerShell 進行後續操作)
• T1105 – Ingress Tool Transfer (利用 certutil / curl 下載 ShadowPad)
• T1071 – Application Layer Protocol (使用 HTTP/HTTPS 傳輸後門)
• T1021 – Remote Services (利用 PowerCat 進行遠端 shell)
• T1070 – Indicator Removal (後門可能清除日誌)

參考資料與原文來源

• Darktrace – “WSUS Exploited: Darktrace’s Analysis of Post‑Exploitation Activities Related to CVE‑2025‑59287” (https://www.darktrace.com/blog/wsus-exploited-darktraces-analysis-of-post-exploitation-activities-related-to-cve-2025-59287)
• The Hacker News – “ShadowPad Malware Actively Exploits WSUS Vulnerability for Full Control” (https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html)
• Code‑White – “A Retrospective Analysis of CVE‑2025‑59287 in Microsoft WSUS” (https://code-white.com/blog/wsus-cve-2025-59287-analysis/)
• SocPrime – “CVE‑2025‑59287 Detection: A Critical Unauthenticated RCE Vulnerability in Microsoft WSUS Under Active Exploitation” (https://socprime.com/blog/cve-2025-59287-detection/)
• RunZero – “Microsoft WSUS vulnerability: CVE‑2025‑59287” (https://www.runzero.com/blog/microsoft-wsus/)

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。