آسیب‌پذیری بحرانی در WSUS؛ هشدار امنیتی جدی برای کاربران ویندوز سرور!

طبق گزارش‌های منتشر شده، یک آسیب‌پذیری بحرانی در WSUS به‌طور فعال مورد بهره‌برداری هکرها قرار گرفته است. این نقص که با شناسه CVE-2025-59287 معرفی شده، نوعی آسیب‌پذیری RCE (اجرای کد از راه دور) در سرویس Windows Server Update Services (WSUS) است و تعداد زیادی از کاربران ویندوز سرور را تحت تأثیر قرار داده است. بهره‎‌برداری فعال از این نقص، باعث شده تا مایکروسافت یک به‎‌روزرسانی اضطراری و خارج از نوبت را برای رفع کامل آن منتشر کند. با فالنیک همراه باشید.

درباره CVE-2025-59287، آسیب‌پذیری بحرانی در WSUS چه می‌دانیم؟

WSUS ابزاری است که به سازمان‌ها کمک می‌کند تا به‌روزرسانی‌های مایکروسافت را مدیریت و در میان چندین کامپیوتر توزیع کنند. به‌جای اینکه هر کامپیوتر جداگانه به سرورهای مایکروسافت متصل شود و آپدیت‌ها را دریافت کند، WSUS این آپدیت‌ها را یک‌بار دانلود و ذخیره می‌کند و سپس آنها را بین همه کامپیوترهای شبکه که به آن متصل‌اند، توزیع می‌کند.

آسیب‌پذیری CVE-2025-59287 یک نقص بحرانی از نوع Deserialization داده‌های غیرقابل اعتماد است که به مهاجم غیرمجاز اجازه می‌دهد با ارسال یک رویداد ویژه و ساختگی به سرور WSUS، روی دستگاه‌های آسیب‌پذیر کد مخرب اجرا کند. برای بهره‌برداری از این آسیب‌پذیری، به هیچ‌گونه تعامل کاربر نیازی وجود ندارد!

مایکروسافت اعلام کرده است که این نقص فقط روی دستگاه‌های ویندوز سرور که نقش WSUS Server در آنها فعال است، اثر دارد. این نقش (Role) به‌طور پیش‌فرض فعال نیست.

مایکروسافت در صفحه آسیب‌پذیری CVE-2025-59287 در MSRC، به‌روزرسانی‌های اضطراری برای رفع این نقص را منتشر کرده است. داستین چایلدز (Dustin Childs)، مدیر بخش آگاهی از تهدیدات در مؤسسه Trend Micro’s Zero Day Initiative، به ادمین‌های سیستم هشدار داده است که هرچه سریع‌تر این به‌روزرسانی‌ها را نصب کنند؛ چرا که این آسیب‌پذیری ماهیتی کرم‌مانند (Wormable) دارد و می‌تواند بین سرورهای WSUS آسیب‌دیده، خود را گسترش دهد! سرورهای WSUS به خودی خود هدف جذابی برای مهاجمان هستند و این آسیب‌پذیری فرصت مناسبی را برای نفوذ در اختیار آنها قرار داده است.

گزارش‌ها از بهره‌برداری فعال از آسیب‌پذیری بحرانی در WSUS خبر می‌دهند!

اگر مفاهیم امنیتی ویندوز سرور رعایت شده باشند و شبکه به‌درستی پیکربندی شده باشد (مثلاً WSUS پشت فایروال عمل کند)، سوء استفاده از نقص CVE-2025-59287 از طریق اینترنت، به احتمال زیاد ممکن نیست.

اما همان‌طور که اداره فدرال امنیت اطلاعات آلمان (BSI) هشدار داده است، اگر مهاجم قبلاً به شبکه داخلی دسترسی پیدا کرده باشد یا فایروال مرزی به‌درستی پیکربندی نشده باشد، می‌تواند از این نقص برای در اختیار گرفتن کنترل کامل سرور WSUS استفاده کند و حمله را به سایر سرویس‌ها گسترش دهد.

به‌عنوان مثال، سرورهای WSUS آلوده می‌توانند برای توزیع آپدیت‌های مخرب به دستگاه‌های کلاینت مورد استفاده قرار گیرند!

ضرورت و فوریت نصب سریع اصلاحیه‌های مایکروسافت زمانی بیشتر مشخص شد که یک پژوهشگر امنیتی در Hawktrace، جزئیات فنی آسیب‌پذیری CVE-2025-59287 و کد اثبات مفهوم (PoC) مربوط به آن را منتشر کرد و خطرات آن را بیشتر مورد بررسی قرار داد.

همچنین، مرکز ملی امنیت سایبری هلند (NCSC-NL)، به تازگی هشدار داده است که «از یکی از شرکای مورد اعتماد خود مطلع شده است که در تاریخ 24 اکتبر 2025، یک سوء استفاده موفق از این آسیب‌پذیری مشاهده شده است». پس بهتر است تمام کاربران ویندوز سرور، این نقص را جدی بگیرند!

برای مقابله با آسیب‌پذیری بحرانی در WSUS چه کار کنیم؟

به‌روزرسانی خارج از برنامه مایکروسافت، برای تمام نسخه‌های پشتیبانی‌شده Windows Server ارائه شده است. سیستم‌ها پس از نصب این به‌روزرسانی، باید یک‌بار راه‌اندازی مجدد (reboot) شوند.

اگر امکان نصب فوری این آپدیت وجود ندارد، ادمین‌های سیستم می‌توانند به‌طور موقت نقش WSUS Server را غیرفعال کنند یا با مسدود کردن ترافیک ورودی به پورت‌های 8530 و 8531 در فایروال میزبان، WSUS را غیرعملیاتی کنند. البته این اقدام باعث می‌شود که کلاینت‌ها دیگر نتوانند به‌روزرسانی‌های مایکروسافت را از سرور دریافت کنند.

مایکروسافت اضافه کرد: «این یک به‌روزرسانی تجمیعی است؛ بنابراین لازم نیست تا پیش از نصب این بسته، هیچ‌کدام از به‌روزرسانی‌های قبلی را نصب کنید. این بسته جایگزین تمام آپدیت‌های قبلی برای نسخه‌های آسیب‌دیده می‌شود. اگر هنوز به‌روزرسانی امنیتی ویندوز اکتبر 2025 را نصب نکرده‌اید، توصیه می‌کنیم به‌جای آن، همین به‌روزرسانی خارج از برنامه را نصب کنید».

به‌روزرسانی خبر (25 اکتبر 2025)

سازمان امنیت سایبری و زیرساخت ایالات متحده (CISA)، آسیب‌پذیری CVE-2025-59287 را به فهرست «آسیب‌پذیری‌های شناخته شده با سوء استفاده موفق» اضافه کرده و به نهادهای فدرال غیرنظامی آمریکا دستور داده است تا تاریخ 14 نوامبر 2025 آن را برطرف کنند.

شرکت هلندی Eye Security به وب‌سایت Help Net Security اعلام کرده است که این شرکت در روز جمعه (24 اکتبر 2025)، اولین تلاش‌های موفق برای بهره‌برداری از این آسیب‌پذیری را شناسایی کرده و سریعاً این مورد را NCSC-NL به اشتراک گذاشته است.

باس فن دن برگ (Bas van den Berg)، پژوهشگر این شرکت، گفته است که حمله‌ای که انها مشاهده کردند، با کد PoC منتشر شده توسط Hawktrace کاملاً متفاوت بوده است! این موضوع نشان می‌دهد که مهاجم، توانایی‌هایی فراتر از یک هکر آماتور دارد!

پیت کرخوفس (Piet Kerkhofs)، مدیرفنی این شرکت نیز اظهار داشت: «ما موفق شدیم اجرای کد از راه دور (RCE) این آسیب‌پذیری را بازتولید کنیم. باید بگوییم که پیچیدگی این حمله به حدی است که احتمالاً یک بازیگر دولتی یا یک گروه باج‌افزاری پیشرفته پشت آن قرار دارند. آنها توانسته‌اند در عرض چند روز این آسیب‌پذیری را به یک سلاح تهدیدکننده تبدیل کنند!». این شرکت، شاخص‌های نفوذ (IoCs) حمله CVE-2025-59287 را منتشر کرده است.

شرکت Huntress نیز حملاتی را شناسایی کرده که از 23 اکتبر 2025 آغاز شده‌اند و شامل شناسایی کاربر وارد شده، فهرست‌برداری از تمام حساب‌های کاربری در دامنه Active Directory و دریافت تنظیمات شبکه سیستم بوده است.

مسئولین فنی این شرکت اظهار داشته‌اند: «مهاجمان از نقاط انتهایی در معرض دسترسی WSUS سوء استفاده کرده و درخواست‌های خاص (چندین فراخوان POST به وب سرویس‌هاهی WSUS) ارسال کردند. این اقدامات منجر به اجرای کد از راه دور از طریق فرآیند Deserialization در سرویس آپدیت شده است».

آنها ادامه دادند: «روش سوء استفاده و فعالیت‌های مخرب این حمله شامل اجرای Command Prompt و PowerShell از طریق فرآیند HTTP Worker و سرویس باینری WSUS بوده است. یک بار مخرب که به‌صورت base64 کدگذاری شده بود، بارگذاری شده و سپس در پاورشل، رمزگشایی و اجرا شده است. در ادامه این بار مخرب به فهرست‌برداری از سرورها برای یافتن اطلاعات حساس شبکه و کاربران اقدام کرده و نتایج را از طریق ارسال به یک Webhook از راه دور، استخراج کرده است».

Huntress اعلام کرد که 4 مشتری آنها مورد حمله قرار گرفته‌اند، اما انتظار دارد دامنه سوء استفاده از CVE-2025-59287 محدود باشد. چرا که: «WSUS معمولاً پورت‌های 8530 و 8531 را در معرض دسترسی از طریق اینترنت قرار نمی‌دهد. در بین شرکای ما، حدود 25 میزبان مستعد آسیب‌پذیری مشاهده شده است».

وب‌سایت Eye Security حدود 8000 سرور متصل به اینترنت را شناسایی کرده که یکی از این پورت‌ها روی آنها باز است؛ اما دقیقاً نتوانسته مشخص کند که آیا این سرورها آسیب‌پذیر هستند یا خیر. با توجه به اینکه به‌روزرسانی‌های اضطراری مایکروسافت کمتر از 2 روز پیش منتشر شده است، احتمالاً تعداد زیادی از سازمان‌ها هنوز نسبت به نصب آن اقدام نکرده‌اند. اگر این خبر را می‌خوانید، سریع‌تر آنها را نصب کنید و از امروز به بعد، چک لیست امنیتی ویندوز سرور را مورد به مورد اجرا کنید!