Vào thứ Năm, Microsoft đã phát hành các bản cập nhật bảo mật ngoài luồng để vá một lỗ hổng critical trong Windows Server Update Service (WSUS) mà một proof-of-concept (PoC) exploit đã có sẵn công khai và đang bị khai thác chủ động trên thực tế.
Lỗ hổng được đề cập là CVE-2025-59287 (điểm CVSS: 9.8), một lỗ hổng remote code execution trong WSUS mà ban đầu đã được gã khổng lồ công nghệ khắc phục như một phần của bản cập nhật Patch Tuesday được phát hành vào tuần trước.
Ba nhà nghiên cứu bảo mật, MEOW, f7d8c52bec79e42795cf15888b85cbad, và Markus Wulftange thuộc CODE WHITE GmbH, đã được ghi nhận vì phát hiện và báo cáo lỗ hổng này.
Điểm yếu này liên quan đến việc deserialization dữ liệu không đáng tin cậy trong WSUS, cho phép một kẻ tấn công trái phép thực thi code qua mạng. Cần lưu ý rằng lỗ hổng này không ảnh hưởng đến các máy chủ Windows không bật vai trò WSUS server.
Trong một kịch bản tấn công giả định, một kẻ tấn công từ xa, không được xác thực có thể gửi một sự kiện được tạo thủ công để kích hoạt unsafe object deserialization trong một "legacy serialization mechanism," dẫn đến remote code execution.
Theo Batuhan Er, nhà nghiên cứu bảo mật tại HawkTrace, vấn đề "phát sinh từ việc deserialization không an toàn các đối tượng AuthorizationCookie được gửi đến endpoint GetCookie(), nơi dữ liệu cookie được mã hóa bằng AES-128-CBC và sau đó được deserialized thông qua BinaryFormatter mà không có xác thực kiểu dữ liệu thích hợp, cho phép remote code execution với các đặc quyền SYSTEM."
Đáng chú ý là Microsoft trước đây đã khuyến nghị các nhà phát triển ngừng sử dụng BinaryFormatter cho việc deserialization, do phương pháp này không an toàn khi được sử dụng với đầu vào không đáng tin cậy. Một triển khai của BinaryFormatter sau đó đã bị loại bỏ khỏi .NET 9 vào tháng 8 năm 2024.
"Để giải quyết toàn diện CVE-2025-59287, Microsoft đã phát hành một bản cập nhật bảo mật ngoài luồng cho các phiên bản Windows Server được hỗ trợ sau đây: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installation), và Windows Server 2025," Redmond cho biết trong một bản cập nhật.
Sau khi cài đặt bản vá, nên thực hiện khởi động lại hệ thống để bản cập nhật có hiệu lực. Nếu việc áp dụng bản vá ngoài luồng không khả thi, người dùng có thể thực hiện bất kỳ hành động nào sau đây để bảo vệ khỏi lỗ hổng này:
- Vô hiệu hóa WSUS Server Role trên máy chủ (nếu đã bật)
- Chặn lưu lượng truy cập đến Ports 8530 và 8531 trên host firewall
"KHÔNG hoàn tác bất kỳ biện pháp khắc phục nào trong số này cho đến khi bạn đã cài đặt bản cập nhật," Microsoft cảnh báo.
Sự phát triển này diễn ra khi Trung tâm An ninh Mạng Quốc gia Hà Lan (NCSC) cho biết họ đã biết từ một "đối tác đáng tin cậy rằng việc lạm dụng CVE-2025-59287 đã được quan sát vào ngày 24 tháng 10 năm 2025."
Eye Security, đơn vị đã thông báo cho NCSC-NL về việc in-the-wild exploitation, cho biết họ đã quan sát thấy lỗ hổng đang được sử dụng để thả một Base64-encoded payload nhắm mục tiêu vào một khách hàng không xác định. Payload này, một .NET executable, "lấy giá trị 'aaaa' từ request header và chạy nó trực tiếp bằng cmd.exe."
Với sự sẵn có của một PoC exploit, điều cần thiết là người dùng phải áp dụng bản vá càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.
