Cảnh báo kỹ thuật: Thực thi mã từ xa quan trọng chưa được xác thực trong Windows Server Update Services (WSUS) – CVE-2025-59287

Một lỗ hổng nghiêm trọng trong WSUS đang gây chấn động các quản trị viên hệ thống hiện nay. Lỗ hổng này cho phép kẻ tấn công chưa được xác thực thực thi mã từ xa. Việc không hành động nhanh chóng đồng nghĩa với việc để máy tính mở hoàn toàn.

Tìm hiểu về lỗ hổng CVE-2025-59287 trong WSUS

Lỗ hổng CVE-2025-59287 nhắm trực tiếp vào Dịch vụ Cập nhật Windows Server, được sử dụng trong các doanh nghiệp để phân phối các bản cập nhật. Lỗ hổng này dựa vào một quá trình giải tuần tự hóa nguy hiểm trong thành phần ClientWebService của WSUS.

Máy chủ xử lý một yêu cầu SOAP bị can thiệp bằng cách sử dụng cookie ủy quyền độc hại. Điều này kích hoạt việc thực thi mã tùy ý từ xa thông qua các quy trình quan trọng như w3wp.exe hoặc wsusservice.exe.

Tóm lại, kẻ tấn công trên mạng có thể khởi chạy bất kỳ lệnh nào, cài đặt cửa hậu và duy trì quyền kiểm soát mà không ai biết. Yêu cầu duy nhất: cổng WSUS phải có thể truy cập được, thường là trên 8530 hoặc 8531.

Các cuộc tấn công đã quan sát: phương thức hoạt động của tin tặc

Kẻ tấn công khai thác tiến trình w3wp.exe để phân phối một tải trọng ban đầu, sau đó phát tán các tải trọng lớn hơn. Chúng khởi chạy chương trình do thám, thu thập thông tin hệ thống và thiết lập một kênh lệnh liên tục.

Ví dụ? Chúng bí mật tải xuống một tệp nhị phân có tên dcrsproxy.exe thông qua PowerShell, cùng với một tệp cấu hình. Phần mềm độc hại này che giấu dấu vết của nó bằng cách giả mạo ngăn xếp để tránh bị phát hiện.

Vũng lầy WSUS: một cổng làm rung chuyển mạng lưới

WSUS thường chạy trên các máy chủ chiến lược, đôi khi thậm chí là các bộ điều khiển miền. Nếu các máy này ngừng hoạt động, lõi của mạng sẽ trở nên dễ bị tấn công. Bạn không cần phải là quản trị viên để làm sập hệ thống!

Hơn nữa, đây không phải là một kịch bản giả định. Kể từ khi bản vá được phát hành, các chiến dịch tấn công đã được phát hiện theo thời gian thực. Những kẻ tấn công âm thầm triển khai các công cụ của chúng, sẵn sàng cho một giai đoạn nguy hiểm hơn, thường là một cuộc tấn công ransomware.

Chiến thuật này được gọi là “dọn đường” trong thuật ngữ quân sự: thiết lập một vị trí tiền tuyến trước cuộc tấn công chính. Nếu không có phản ứng nhanh chóng, toàn bộ cơ sở hạ tầng của bạn có thể sụp đổ.

Làm thế nào bạn có thể tự bảo vệ mình một cách hiệu quả?

Nguyên tắc đầu tiên: vá ngay lập tức. Microsoft đã phát hành bản cập nhật; không có thời gian để lãng phí. Nếu không, bạn đang trao cho hệ thống của mình một tấm vé miễn phí cho tin tặc.

Tiếp theo, hãy tăng cường bảo vệ điểm cuối bằng các giải pháp có khả năng phân tích hành vi theo thời gian thực. Việc phát hiện các hoạt động đáng ngờ, chẳng hạn như việc thực thi PowerShell được mã hóa base64, phải được thực hiện một cách có hệ thống.

Cuối cùng, đừng quên phân đoạn mạng: phân vùng máy chủ WSUS của bạn để hạn chế tác động trong trường hợp bị xâm phạm. Và hãy chuẩn bị một kế hoạch điều tra nghiêm ngặt nếu bạn phải chờ đợi để vá lỗi.