Windows Server Update Servicesにおける致命的なリモートコード実行脆弱性CVE-2025-59287が発覚し、Microsoftが緊急パッチを発表。

Windows Server Update Services (WSUS)で発見された致命的なリモートコード実行の脆弱性、CVE-2025-59287がセキュリティ業界に大きな警鐘を鳴らしています。この脆弱性により、認証されていない攻撃者がネットワークを通じて悪意のあるコードを実行でき、深刻なセキュリティリスクを引き起こす可能性があります。CVSSスコア9.8と評価されたこの問題は、特に組織のネットワーク管理に不可欠なWSUSサーバーのセキュリティを脅かしており、注目されています。

Eye Securityは、この脆弱性が手動で悪用されていることを初めて確認しました。顧客のWSUSシステムから受信した警告を通じて、w3wp.exeプロセスによってwhoami.exeが実行されたことが明らかになり、これは悪意のあるウェブシェルの強力な指標とされています。攻撃者は数秒ごとに複数のコマンドを実行しており、これは自動化されたスクリプトではなく人による攻撃であることを示しています。このような攻撃手法は「hands-on-keyboard」と呼ばれ、最近のサイバー攻撃の新たなトレンドとして浮上しています。

Hawktraceの研究によると、この脆弱性は信頼できないデータの逆シリアル化の問題であり、初期の概念実証では単純に電卓を表示することで示されましたが、攻撃者はこれをさらに悪意のある目的で利用しています。ログの分析結果から、base64でエンコードされた.NET実行ファイルを含むペイロードがHTTPリクエストヘッダーを通じて伝達され、サーバーを制御できることが判明しました。このような脆弱性は、WSUSサーバーが組織全体に更新を配信する上で重要な役割を果たしているため、サーバーが侵害されると大規模な侵入やランサムウェアの配布につながる可能性があります。

MicrosoftはCVE-2025-59287を解決するために緊急パッチKB5070883を発表しました。セキュリティ専門家はすべての組織に対し、直ちにパッチを適用することを強く推奨しています。また、WSUSサーバーが公のインターネットにさらされないよう確認し、疑わしい活動を監視できる強力なEndpoint Detection and Response (EDR)ソリューションを用意するようアドバイスしています。

インターネットスキャンの結果、約8,000台のWSUSサーバーがポート8530または8531で露出していることが判明しましたが、どれが実際に脆弱であるかは確認されていません。この脆弱性は組織のネットワークセキュリティに深刻な脅威をもたらしており、迅速な対応が求められています。