Avviso tecnico: esecuzione di codice remoto critico non autenticato in Windows Server Update Services (WSUS) – CVE-2025-59287

Una vulnerabilità critica in WSUS sta mettendo a dura prova gli amministratori di sistema. Questa vulnerabilità consente a un aggressore non autenticato di eseguire codice da remoto. Non agire rapidamente significa lasciare la macchina completamente aperta.

Comprendere la vulnerabilità CVE-2025-59287 in WSUS

La vulnerabilità CVE-2025-59287 colpisce direttamente Windows Server Update Services, utilizzato nelle aziende per distribuire gli aggiornamenti. Si basa su una pericolosa deserializzazione nel componente ClientWebService di WSUS.

Il server elabora una richiesta SOAP manomessa tramite un cookie di autorizzazione dannoso. Questo attiva l’esecuzione di codice arbitrario da remoto tramite processi critici come w3wp.exe o wsusservice.exe.

In breve, un aggressore sulla rete può lanciare qualsiasi comando, installare una backdoor e mantenere il controllo all’insaputa di chiunque. L’unico requisito: che la porta WSUS sia accessibile, spesso sulla 8530 o 8531.

Attacchi osservati: il modus operandi degli hacker

Gli aggressori sfruttano il processo w3wp.exe per distribuire un payload iniziale, per poi diffondere payload più grandi. Avviano una ricognizione, raccolgono informazioni di sistema e stabiliscono un canale di comando persistente.

Un esempio? Scaricano di nascosto un file binario denominato dcrsproxy.exe tramite PowerShell, insieme a un file di configurazione. Questo software dannoso maschera le sue tracce con lo stack spoofing per eludere il rilevamento.

Il pantano di WSUS: un gateway che mette a dura prova le reti

WSUS viene spesso eseguito su server strategici, a volte persino su controller di dominio. Se queste macchine si guastano, il core della rete diventa vulnerabile. Non è necessario essere un amministratore per mandare in crash il sistema!

Inoltre, questo non è uno scenario ipotetico. Dal rilascio della patch, le campagne di attacco sono state rilevate in tempo reale. Gli aggressori utilizzano silenziosamente i loro strumenti, pronti per una fase più pericolosa, molto spesso un attacco ransomware.

Questa manovra è chiamata “beachheading” in gergo militare: stabilire una posizione in prima linea prima dell’offensiva principale. Senza una risposta rapida, l’intera infrastruttura potrebbe crollare.

Come difendersi efficacemente?

Prima regola: applicare la patch immediatamente. Microsoft ha già rilasciato un aggiornamento; non c’è tempo da perdere. Senza di esso, si sta dando carta bianca al sistema in balia degli hacker.

Inoltre, è necessario rafforzare la protezione degli endpoint con soluzioni in grado di analizzare il comportamento in tempo reale. Il rilevamento di attività sospette, come l’esecuzione di PowerShell con codifica base64, deve essere sistematico.

Infine, non dimenticare la segmentazione della rete: partiziona i server WSUS per limitare l’impatto in caso di compromissione. E prepara un rigoroso piano di indagine se hai dovuto aspettare per applicare la patch.