شناسه CVE-2025-59287 :CVE
CWE-502 :CWE
yes :Advisory
منتشر شده: اکتبر 14, 2025
به روز شده: اکتبر 31, 2025
امتیاز: 9.8
نوع حمله: crafted-message

اثر گذاری: Remote code execution(RCE)
حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
برند: Microsoft
محصول: Windows
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در سرویس WSUS مایکروسافت ناشی از سریال زدایی داده های غیرقابل اعتماد است. این ضعف امنیتی در سرورهایی که WSUS فعال است امکان اجرای کد از راه دور با سطح دسترسی SYSTEM را فراهم می کند.

توضیحات

آسیب‌پذیری CVE-2025-59287 در سرویس Windows Server Update Service (WSUS، ابزاری برای مدیریت و توزیع به روزرسانی های ویندوز) ناشی از سریال زدایی ناامن داده‌های غیرقابل مطابق با CWE-502 است. این ضعف در متد DecryptData کلاس EncryptionHelper رخ می‌دهد؛ جایی که کوکی رمزنگاری‌شده (AuthorizationCookie) با AES-128-CBC رمزگشایی شده و سپس بدون اعتبارسنجی نوع، مستقیما توسط BinaryFormatter.Deserialize پردازش می‌شود. این موضوع به مهاجم اجازه می‌دهد تا پیلود دلخواه را در قالب کوکی تزریق کند و اجرای کد از راه دور (RCE) را فعال نماید.

به عبارتی، مهاجم می‌تواند کنترل کامل سرور WSUS را به دست آورد و کد مخرب را با دسترسی SYSTEM اجرا کند؛ وضعیتی که ممکن است به گسترش بدافزار در شبکه (wormable) بینجامد. این حمله معمولاً از طریق پروتکل HTTP (روی پورت‌های 8530/TCP و 8531/TCP) انجام می‌شود؛ مهاجم یک درخواست SOAP به ClientWebService/Client.asmx ارسال می‌کند و در فیلد CookieData یک پیلود رمزنگاری‌شده قرار می‌دهد.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار، از راه دور و بدون تعامل کاربر یا احراز هویت، کوکی مخربی مانند پیلود تولید شده توسط ysoserial (با کلید ثابت 877C14E433638145AD21BD0C17393071) را به اندپوینت GetCookie ارسال کند و دستوراتی مانند “calc.exe” یا “cmd /c whoami” را اجرا نماید. این فرآیند شامل رمزنگاری پیلود با AES-128-CBC (IV صفر) و قرار دادن آن در SOAP envelope است.

کد اثبات مفهومی (PoC) عمومی برای این آسیب‌پذیری منتشر شده است که در آن یک پیلود ysoserial با دستور “calc” تولید می‌شود، با کلید WSUS رمزنگاری شده و در درخواست SOAP به سرور آسیب‌پذیر ارسال می‌گردد؛ این امر منجر به اجرای دستورات دلخواه با دسترسی SYSTEM می‌شود. همچنین اکسپلویت فعال این آسیب پذیری گزارش شده و در فهرست KEV آژانس CISA ثبت شده است.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی، یکپارچگی و در دسترس‌پذیری با اجرای کد دلخواه، سرقت اطلاعات یا گسترش بدافزار است. لازم به ذکر است این ضعف تنها زمانی رخ می دهد که WSUS فعال باشد (WSUS به طور پیش‌فرض غیرفعال است). مایکروسافت این آسیب‌پذیری را با پچ خارج از نوبت در اکتبر 2025 (KBهای x507088) پچ کرده است.

CVSS

Score	Severity	Version	Vector String
9.8	CRITICAL	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions	Platforms	Product
affected from 10.0.17763.0 before 10.0.17763.7922	x64-based Systems	Windows Server 2019
affected from 10.0.17763.0 before 10.0.17763.7922	x64-based Systems	Windows Server 2019 (Server Core installation)
affected from 10.0.20348.0 before 10.0.20348.4297	x64-based Systems	Windows Server 2022
affected from 10.0.26100.0 before 10.0.26100.6905	x64-based Systems	Windows Server 2025 (Server Core installation)
affected from 10.0.25398.0 before 10.0.25398.1916	x64-based Systems	Windows Server 2022, 23H2 Edition (Server Core installation)
affected from 10.0.26100.0 before 10.0.26100.6905	x64-based Systems	Windows Server 2025
affected from 10.0.14393.0 before 10.0.14393.8524	x64-based Systems	Windows Server 2016
affected from 10.0.14393.0 before 10.0.14393.8524	x64-based Systems	Windows Server 2016 (Server Core installation)
affected from 6.2.9200.0 before 6.2.9200.25728	x64-based Systems	Windows Server 2012
affected from 6.2.9200.0 before 6.2.9200.25728	x64-based Systems	Windows Server 2012 (Server Core installation)
affected from 6.3.9600.0 before 6.3.9600.22826	x64-based Systems	Windows Server 2012 R2
affected from 6.3.9600.0 before 6.3.9600.22826	x64-based Systems	Windows Server 2012 R2 (Server Core installation)

لیست محصولات بروز شده

Versions	Platforms	Product
10.0.17763.7922	x64-based Systems	Windows Server 2019
10.0.17763.7922	x64-based Systems	Windows Server 2019 (Server Core installation)
10.0.20348.4297	x64-based Systems	Windows Server 2022
10.0.26100.6905	x64-based Systems	Windows Server 2025 (Server Core installation)
10.0.25398.1916	x64-based Systems	Windows Server 2022, 23H2 Edition (Server Core installation)
10.0.26100.6905	x64-based Systems	Windows Server 2025
10.0.14393.8524	x64-based Systems	Windows Server 2016
10.0.14393.8524	x64-based Systems	Windows Server 2016 (Server Core installation)
6.2.9200.25728	x64-based Systems	Windows Server 2012
6.2.9200.25728	x64-based Systems	Windows Server 2012 (Server Core installation)
6.3.9600.22826	x64-based Systems	Windows Server 2012 R2
6.3.9600.22826	x64-based Systems	Windows Server 2012 R2 (Server Core installation)

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Microsoft Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
76,300	site:.ir “Microsoft” “Windows Server”	Microsoft Windows Server

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در WSUS مایکروسافت امکان اجرای کد از راه دور بدون احراز هویت را افزایش می‌دهد. با توجه به اکسپلویت فعال و انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

به‌روزرسانی فوری: همه‌ی سرورهای دارای نقش WSUS را فوراً با پَچ خارج از نوبت اکتبر 2025 به‌روزرسانی کنید و پس از نصب، سرورها را راه اندازی مجدد(reboot) نمایید. برای سرورهای تحت برنامه‌ی hotpatch از بسته‌های به روزرسانی مستقل (standalone) مربوطه استفاده کنید.
غیرفعال‌سازی WSUS: اگر پچ فوری ممکن نیست، نقش WSUSرا غیرفعال کنید تا حمله مسدود شود (توجه: در این حالت کلاینت‌ها از آن سرور آپدیت دریافت نخواهند کرد).
مسدود کردن پورت‌ها: تا زمان اعمال پَچ، ترافیک ورودی روی پورت‌های 8530 و 8531 را روی فایروال میزبان بلاک کنید (مسدودسازی در لایه میزبان موثرتر از محدود کردن ترافیک تنها در محیط پیرامونی شبکه است).
نظارت و ثبت لاگ: از ابزارهایی مانند Microsoft Defender for Endpoint یا Event Viewer برای مانیتورینگ درخواست‌های مشکوک به /asmx استفاده کنید و لاگ‌های WSUS را با سطح جزئیات بالا بررسی نمایید.
ایزوله‌سازی شبکه: سرورهای WSUS را در شبکه های جداگانه ایزوله قرار دهید و دسترسی را با NSG یا VLAN محدود سازید؛ از فایروال اپلیکیشن وب (WAF) مانند Azure Application Gateway برای فیلتر XML مخرب بهره ببرید.
آموزش ادمین‌ها: تیم‌های IT را درباره ریسک سریال زدایی داده های غیرقابل اعتماد و ضرورت غیرفعال‌سازی BinaryFormatter و پیاده سازی جایگزین های امن آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری و مسدود سازی پورت‌ها، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت زیرساخت آپدیت ویندوز را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم از راه دور و بدون احراز هویت می‌تواند از طریق ارسال درخواست HTTP/SOAP به endpointهای WSUS مثلاً ClientWebService/Client.asmx روی پورت‌های 8530/8531 ورودی crafted شامل یک AuthorizationCookie رمزنگاری‌شده را به سرور بفرستد

Execution (TA0002)
در زمان اجرا، سرور WSUS پس از AES-128-CBC decryption داده دریافتی را بدون اعتبارسنجی نوع به BinaryFormatter.Deserialize می‌سپارد که منجر به اجرای کد دلخواه با امتیاز SYSTEM می‌شود

Persistence (TA0003)
پس از اجرای موفق، مهاجم می‌تواند persistence سیستمیک ایجاد کند نصب سرویس/درایور، ثبت scheduled task یا تغییر رجیستری برای شروع خودکار، که بقای دسترسی را تضمین می‌کند.

Privilege Escalation (TA0004)
مهاجم با اجرای کد در کانتکست SYSTEM به بالاترین سطح امتیاز دست می‌یابد و می‌تواند مالکیت فایل‌ها، سرویس‌ها و تنظیمات کرنل را تغییر دهد؛ این آسیب‌پذیری به‌خودی‌خود escalation را فراهم می‌آورد.

Defense Evasion (TA0005)
برای پنهان‌کاری، مهاجم ممکن است لاگ‌ها را پاک یا تغییر دهد، رفتار payload را پولیمورف کند یا از chainهای چندمرحله‌ای استفاده کند تا تشخیص را دشوار سازد.

Credential Access (TA0006)
پس از تصاحب SYSTEM، مهاجم قادر است اعتبارنامه‌های محلی، توکن‌ها و کلیدهای ذخیره‌شده را استخراج یا تداخل کند که دامنه دسترسی را گسترش می‌دهد.

Discovery (TA0007)
مهاجمِ موفق می‌تواند ساختار اپلیکیشن WSUS و فایل‌های پیکربندی، دیتابیس‌های محلی و نقش‌های سرویس را کشف کند تا بردارهای بعدی مثلاً حرکت جانبی یا سرقت update packages را شناسایی نماید.

Lateral Movement (TA0008)
با امتیاز SYSTEM و دسترسی به شبکه داخلی، مهاجم می‌تواند به سرورهای دیگر حرکت کند

Collection (TA0009)
مهاجم می‌تواند بسته‌های به‌روزرسانی، لاگ‌ها، فایل‌های پیکربندی و داده‌های حساس ذخیره‌شده روی سرور را جمع‌آوری کند؛ همچنین می‌تواند telemetry امنیتی محلی را حذف یا دستکاری نماید.

Exfiltration (TA0010)
داده‌ها و فایل‌های جمع‌آوری‌شده به‌صورت رمزنگاری‌شده یا مخفی از سرور خارج و به سرورهای کنترل مهاجم ارسال می‌شوند؛ این مسیرها ممکن است از طریق ترافیک HTTP/S متداول انجام شود تا شناسایی سخت‌تر شود.

Impact (TA0040)
اثرات بالقوه شامل تصاحب کامل سرور WSUS با امتیاز SYSTEM، احتمال گسترش بدافزار در شبکه از طریق کانال‌های update، افشای گسترده داده‌ها و اختلال سرویس‌ در مقیاس بالاست — محرمانگی، یکپارچگی و دسترسی همه در معرض خطر قرار می‌گیرند.

منابع

گزارش اثبات آسیب‌پذیری CVE-2025-59287

اطلاعات آسیب‌پذیری

محصول آسیب‌پذیر: Windows Server — Windows Server Update Services (WSUS) role
عنوان: Unauthenticated Remote Code Execution via Unsafe Deserialization
شناسه: CVE-2025-59287
وضعیت مشاوره: Advisory / Patch available (Out-of-band update issued)
نمره CVSS تقریبی: 9.8 (Critical)

محصول/نسخه‌های آسیب‌پذیر

سرورهای Windows که نقش WSUS فعال دارند — نسخه‌های متداول Windows Server 2012/2012R2/2016/2019/2022/2025 و احتمالا سایر شاخه‌های پشتیبانی‌شده که WSUS را اجرا می‌کنند و endpointهای گزارش وب‌سرویس آنها در معرض دسترسی شبکه‌ای قرار دارد.

ریشه مشکل

آسیب‌پذیری ناشی از deserialize کردن داده‌های غیرباورپذیر (unsafe deserialization) در مسیرهای گزارش‌دهی وب‌سرویس WSUS است (مربوط به CWE-502). کد WSUS به‌گونه‌ای نوشته شده که داده‌های سریالایز شده دریافتی را بدون اعتبارسنجی و محدودسازی مناسب دِسریالایز می‌کند و این امکان را می‌دهد تا یک payload کنترل‌شده توسط مهاجم، در زمان دِسریالایز اتفاقاتی را (مثل اجرای کد) موجب شود. بهره‌برداری از راه دور و بدون احراز هویت ممکن است و در پیکربندی‌های معمول به اجرا شدن کد در کانتکست سرویس WSUS معمولاً با امتیازات SYSTEM منجر گردد. فعال بودن اکسپلویت‌های دنیای واقعی و اسکن‌های گسترده پس از افشا نیز گزارش شده است.

پیش‌نیازهای بهره‌برداری (Prerequisites)

وجود یک سرور WSUS در شبکه که endpointهای گزارش/وب‌سرویس آن از منظر مهاجم قابل دسترسی باشد. دسترسی به پورت‌های WSUS یا پروکسی HTTP/S که درخواست‌ها را به WSUS منتقل می‌کند.
مسیرِ آسیب‌پذیر به‌صورت بدون نیاز به احراز هویت قابل دسترسی باشد — این آسیب‌پذیری توسط مهاجمین unauthenticated قابل بهره‌برداری است.

محیط آزمایش

یک نمونه Apache Tomcat آسیب‌پذیر به CVE-2025-59287 برای اهداف آموزشی، در محیط ایزوله و بدون اتصال به شبکه واقعی.
حساب کاربری آزمایشی یا دسترسی محدود به سرور.
نقاط لاگ‌برداری فعال Windows Event Logs، application logs مربوط به WSUS، شبکه (pcap) و SIEM
Snapshot / checkpoint قبل و بعد از هر آزمایش — امکان rollback فوری ضروری است.

توضیحات فنی

آسیب‌پذیری مربوط به فرآیند Unsafe Deserialization در WSUS است که در آن داده‌های دریافت‌شده از کلاینت‌ها یا کوکی‌های Authorization، بدون اعتبارسنجی نوع، توسط سرور unserialize می‌شوند. داده‌ها معمولاً با الگوریتم رمزنگاری AES-128-CBC بسته‌بندی و در کوکی/پارامتر HTTP منتقل می‌شوند. سرور پس از رمزگشایی، مستقیماً از BinaryFormatter برای deserialize استفاده می‌کند و هیچ کنترل یا محدودیتی روی نوع شیء یا محتوا اعمال نمی‌شود. این شرایط اجازه می‌دهد تا در صورت وجود کنترل‌های ناکافی روی داده‌ها، مهاجم بتواند داده‌های سریال‌شده crafted را به سرور ارسال کند و منطق اجرای برنامه را دستکاری کند.این آسیب‌پذیری می‌تواند منجر به Remote Code Execution (RCE) با امتیاز سیستم شود، زیرا هر شیء سریال‌شده در زمان unserialize شدن، امکان اجرای کد دلخواه را فراهم می‌آورد. از منظر دفاعی، شاخص‌های قابل تشخیص شامل خطاهای غیرمعمول در فرآیند deserialize، exceptions مرتبط با decrypt و ارسال درخواست‌های غیرمعمول HTTP به اندپوینت‌های حساس WSUS است. مهم است که این آسیب‌پذیری تنها در صورتی عملی می‌شود که مهاجم به کلید رمزنگاری یا پارامترهای محیطی معتبر دسترسی داشته باشد، و بدون این پیش‌نیاز، تلاش‌های exploit ناکام خواهد بود.

شبیه سازی POC

توجه: مراحل زیر صرفاً برای تحلیل رفتار و شناسایی بردارهای حمله در محیط امن هستند

ورود به سیستم WSUS با حساب کاربری آزمایشی / محدود.
شبیه‌سازی ارسال درخواست به endpoint آسیب‌پذیر: درخواست HTTP crafted که شامل داده‌های سریال‌شده است
سرور داده را شبیه‌سازی می‌کند که unserialize انجام دهد، بدون اجرای کد واقعی.
بررسی رفتار سرور هنگام پردازش داده‌ها، شناسایی نقاط ضعف deserialize و توالی‌های غیرمجاز، بدون آپلود وب‌شل، استخراج واقعی داده‌ها یا تصاحب سرور.

نتیجه مورد انتظار در حالت امن (Expected Secure Behavior)

سرور WSUS نباید هرگز داده‌های سریالایز شده دریافتی از منابع غیرقابل‌اعتماد را بدون اعتبارسنجی یا قرارداد ایمن دِسریالایز کند.
راه‌حل‌های ایمن شامل حذف مسیرهای دِسریالایز قابل سوءاستفاده، اعمال whitelist برای انواع قابل‌قبول، یا استفاده از سازوکارهای امنِ دِسریالایز یا رد کردن کامل داده‌های سریالایز شده از منابع غیرمطمئن است. پس از فیکس، نباید امکان اجرای آبجکت‌های attacker-controlled یا اجرای دستورات توسط WSUS وجود داشته باشد.

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

فوری (Immediate)

Patch فوری: پچ out-of-band منتشرشده توسط مایکروسافت را فوراً روی WSUS نصب کنید. این به‌عنوان اولویت شماره یک است.
در صورت عدم امکان پچ سریع: دسترسی شبکه‌ای به سرویس WSUS را موقتا مسدود کنید — بلوکه کردن پورت‌های WSUS معمولاً TCP 8530/8531 در فایروال perimeter یا host firewall در صورت لزوم سرویس WSUS را متوقف کنید تا پچ اعمال شود.

میان‌مدت (Medium)

محدود کردن دسترسی WSUS به شبکه‌های مدیریت و IP allowlist
فعال‌سازی مانیتورینگ فرآیند و EDR برای شناسایی ایجاد پروسس‌های غیرمعمول ناشی از WSUS (مثلاً اسکریپت‌های downloader یا اجرای دستورات ناخواسته)

بلندمدت (Long-term)

بازنگری معماری: جلوگیری از قرار گرفتن WSUS مستقیم در معرض اینترنت؛ استفاده از reverse proxy امن و WAF با قواعد مناسب.
پیاده‌سازی hardening و قوانین secure coding برای جلوگیری از دِسریالایز ناامن در هرچهارچوب‌های داخلی و سرویس‌ها.
تدوین و اجرای روال‌های پچ اضطراری و مدیریت بدافزار

تشخیص و مانیتورینگ (Detection & Monitoring)

پایش لاگ‌ها برای درخواست‌های مشکوک به endpointهای WSUS حاوی payloadهای باینری یا داده سریالایز شده بزرگ/غیرمعمول؛ شناسایی POST/PUTهای غیرعادی.
تولید هشدار بر روی رفتار غیرمتعارف مانند spawn کردن شِل، اجرای دستورات دانلود، ایجاد scheduled task یا تغییر فایل‌های سیستمی
اعمال قواعد EDR/IDS برای شناسایی الگوهای شناخته‌شده اکسپلویت و استفاده از شاخص‌های مشاهده‌شده توسط تامین‌کنندگان امنیتی مانند Unit 42، Huntress و غیره

Indicators of Compromise

درخواست‌های شبکه‌ای با payloadهای باینری serialized به آدرس‌های WSUS،
اجرای ناگهانی پروسس‌هایی که به دانلود/ حرکت جانبی اشاره دارند،
ظاهر شدن scheduled task یا فایل‌های اجرایی ناشناس پس از تعامل با WSUS

واکنش به حادثه (Incident Response)

ایزوله: در صورت شک یا تشخیص بهره‌برداری، میزبان‌های درگیر را فوراً از شبکه جدا کنید.
گردآوری شواهد: لاگ‌های IIS/WSUS، network pcap، تصویر حافظه فرایند WSUS، فایل‌های مشکوک و metadata را جمع‌آوری کرده و هش‌ها را ثبت کنید.
در صورت تایید حمله: میزبان را rebuild کنید از یک ایمیج clean، تمامی credentialها/گواهی‌ها را rotate کنید، و جستجوی lateral movement در شبکه انجام دهید.
همکاری با تامین‌کنندگان: در صورت نیاز، با vendor/EDR و تیم‌های پاسخ‌دهی تخصصی همکاری کنید.

جریان حمله (Attack Flow)

شکل شماره 1 جریان حمله مربوط به این آسیب پذیری را نشان می دهد.

شکل 1: جریان حمله

اثبات مفهوم (PoC) — هشدار امنیتی

تیم فنی Vulnerbyte اثبات این آسیب پذیری را در محیط ایزوله تست کرده و صحت آن مورد تایید قرار گرفت. شکل شماره 2 مراحل سمت هدف (سرور ویندوز) را در حین اجرای اسکریپت اکسپلویت در PowerShell نشان می‌دهد؛ در این مرحله، بارِ مخرب (Payload) توسط ابزاری مانند ysoserial تولید شده، با موفقیت بر روی سرور مستقر می‌شود، و نهایتاً پیام تأیید می‌کند که RCE با موفقیت فعال شده و کد مخرب پس از باز شدن کنسول WSUS، اتصال پوسته معکوس را برقرار کرده است (شکل 3). به طور کلی، این تصاویر تکمیل موفقیت‌آمیز فازهای تزریق اکسپلویت و دستیابی به کنترل سرور آسیب‌پذیر را تأیید می‌کنند.

شکل 2: اجرای پیلود مخرب

شکل 3: دسترسی به سیستم قربانی

منابع (References)

(NVD)

CVE-2025-59287 – Windows Server Update Services (WSUS) — Unauthenticated Remote Code Execution via Unsafe Deserialization

CVE ID: CVE-2025-59287
Severity: Critical (CVSS 9.8)
Affected Systems:

Windows Server installations running the WSUS (Windows Server Update Services) role, including but not limited to Windows Server 2012, 2012 R2, 2016, 2019, 2022 and 2025 installations that have WSUS enabled and listening on default or custom ports. (NVD)

Patched In: Microsoft released an out-of-band (OOB) security update addressing CVE-2025-59287 on 23 October 2025 (follow-up to the October Patch Tuesday release). Administrators should apply the OOB update from Microsoft’s Update Guide immediately. (Microsoft Security Response Center)

References:

Microsoft Security Update Guide — CVE-2025-59287. (Microsoft Security Response Center)
NVD — CVE-2025-59287 (CWE-502: Deserialization of Untrusted Data). (NVD)
CISA alert and guidance regarding the WSUS OOB update. (CISA)
Unit 42 / Palo Alto Networks analysis of observed exploitation patterns. (Unit 42)
Huntress technical write-up and exploitation analysis. (Huntress)

Description

A critical remote code execution vulnerability exists in Microsoft Windows Server Update Services (WSUS) due to unsafe deserialization of untrusted data in WSUS reporting/web service endpoints. An unauthenticated attacker can send specially crafted network requests that trigger deserialization of attacker-controlled payloads, resulting in arbitrary code execution in the context of the WSUS service (SYSTEM privileges in typical configurations). This vulnerability is tracked as CVE-2025-59287 and has a CVSS score of 9.8 (critical). (NVD)

Active exploitation was observed in the wild shortly after public disclosure and after a partial fix, prompting Microsoft to issue an emergency out-of-band update on 23 October 2025. Multiple security vendors reported rapid scanning and exploitation attempts against Internet-exposed WSUS instances. (Microsoft Security Response Center)

Prerequisites

A target system running the WSUS server role and exposing the WSUS service endpoints to the attacker (network access to WSUS ports, commonly TCP 8530/8531 or an HTTP(S) proxying WSUS). (Orca Security)
No authentication required to reach the vulnerable deserialization code path — the vulnerability is exploitable by unauthenticated remote attackers. (NVD)

Proof of Concept (PoC)

(For defensive testing in isolated labs only.) Public PoC exploit code and community variants have been observed and shared (including PowerShell and ysoserial-based payloads) that demonstrate unauthenticated exploitation via crafted deserialization payloads sent to WSUS endpoints. Researchers have posted PoCs and exploitation scripts to public repositories as part of analysis; these PoCs were used to validate out-of-band patches and to observe attacker activity. Do not run PoCs against production systems. (GitHub)

Example high-level PoC flow (conceptual):

Attacker crafts a serialized payload that, when deserialized by the WSUS reporting/service code, causes execution of arbitrary commands.
Attacker sends the payload to a reachable WSUS endpoint (HTTP/S).
WSUS deserializes the payload and executes the triggered code under the service account (SYSTEM), yielding command execution and full compromise of the host.

Expected Result

WSUS and other network-facing server components must not deserialize untrusted input. Proper fixes include validating input before deserialization, removing unsafe deserialization code paths, and applying safe deserialization patterns or rejecting untrusted serialized payloads. After remediation, WSUS should no longer execute attacker-controlled objects or commands via the vulnerable endpoint. (NVD)

Mitigation / Patch Guidance

Patch immediately — deploy Microsoft’s out-of-band update released 23 Oct 2025 (and follow any subsequent advisories). Prioritize Internet-facing and high-value WSUS servers. (Microsoft Security Response Center)
If you cannot patch immediately:
- Block inbound traffic to WSUS ports (default TCP 8530/8531) at the network perimeter or host firewall.
- Disable WSUS or stop the WSUS service until the patch can be applied (note: this may affect Windows update distribution). (CISA)
Harden WSUS exposure: restrict management access to trusted management networks, use IP allowlists, and ensure WSUS is not directly exposed to untrusted networks. (Unit 42)
Monitor vendor advisories: apply any follow-up hotfixes or guidance from Microsoft. (Microsoft Security Response Center)

Detection & Monitoring

Hunt for suspicious requests to WSUS endpoints containing unusual serialized payloads or binary blobs; monitor for abnormal POST/PUT traffic to reporting/service URLs. (Huntress)
Alert on process creation or command execution originating from WSUS processes (w3wp.exe or the WSUS service process), especially commands that spawn reverse shells, downloaders, or write new service accounts. (Unit 42)
Use IDS/IPS and EDR telemetry to detect exploitation patterns — several vendors published detection signatures and SIEM queries to detect attempts. SOC content providers (Unit 42, SOCPrime, vendor advisories) provide IOC lists and detection rules. (Unit 42)

Indicators of Compromise (IOCs) observed in the wild include: unexpected WSUS process behavior, new/suspicious scheduled tasks, outbound connections to known C2 domains following WSUS exploitation, and dropped payloads such as info-stealer malware. (Help Net Security)

Incident Response

If exploitation is suspected: isolate the affected host(s) from the network immediately. (Unit 42)
Collect forensic evidence: WSUS logs, IIS logs, network captures, process memory, filesystem artifacts, and scheduled tasks. Preserve copies (hashes) for analysis. (Huntress)
If SYSTEM compromise is confirmed: assume complete host compromise — rebuild the host from known-good images, rotate any credentials stored or accessible from the host (service accounts, certificates, API keys), and perform lateral movement and pivot hunts across the environment. (Unit 42)
Engage incident response specialists or vendor EDR teams for containment and remediation if necessary. (Huntress)

Disclaimer

This report is intended for defensive cybersecurity, incident response, and patch management. It is not an exploitation guide. Testing or exploitation of systems without explicit authorization is illegal and unethical. Administrators should perform testing in isolated lab environments and follow their organization’s change-control and IR procedures. (Microsoft Security Response Center)

بررسی آماری آسیب پذیری CVE-2025-59287 در کشور ایران

محصول آسیب پذیر: Windowns Server

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

براساس داده‌های موجود در وب‌سایت‌های آماری و تحلیل حضور سرویس‌ها، میزان استفاده از Windows Server در ایران عمدتاً مبتنی بر نسخه‌های تثبیت‌شده و کلاسیک است. شاخص‌ها نشان می‌دهد سهم قابل‌توجهی از وب‌سایت‌های ایرانی بر بستر IIS اجرا می‌شوند که مؤید نصب گسترده Windows Server در اکوسیستم میزبانی وب کشور است. با این حال، این داده‌ها تنها نشانگر بخشی از بازار هستند و نباید به‌عنوان نماینده کاملِ تمامی سرورهای سازمانی تلقی شوند.

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش	دورک	موتور جستجو
456000	site:.ir “windows Server”	Google
536000	“ویندوز سرور”	Google
2750000	site:.ir “windows server”	Bing

میزان استفاده در ایران بر اساس سایت های دانلود

سایت های ایرانی بسیاری ویندوز سرور را برای دانلود گذاشته اند. میزان بازدید برخی از این موارد در جدول زیر آورده شده است.

بازدید در زمان نگارش گزارش	عنوان	سایت
5358	دانلود ویندوز سرور 2025	yasdl.com
23430	دانلود ویندوز سرور ۲۰۱۲	downloadha.com
88485	دانلود Windows Server 2022 LTSC 21H2 Build 20348.4294 (2025.10) x64	p30download.ir

وضعیت استفاده در ایران بر اساس اسکنرهای اینترنتی

بر اساس اسکنر دستگاه های متصل به اینترنت شودان (Shodan.io) نتایج زیر برای این سه محصول وجود دارد.

تعداد	دورک شودان
25900	windows server Country:IR

وجود نمایندگی در ایران

شرکت مایکروسافت دفتر رسمی یا نمایندگی کشور در ایران ندارد و بسیاری از سرویس‌های آنلاین و فروش مستقیم برای کاربران/شرکت‌های مستقر در ایران محدود یا در دسترس نیستند. این وضعیت به‌معنای آن است که دسترسی به محصولات و خدمات مایکروسافت در ایران معمولاً از طریق شرکای تجاری، توزیع‌کنندگان ثالث یا راهکارهای منطقه‌ای تامین می‌شود.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

بر اساس گزارش‌های موجود و تحلیل‌های بازار، سهم استفاده از Windows Server در ایران در میان سازمان‌ها و مراکز میزبانی وب قابل توجه به نظر می‌رسد. داده‌های ثبت‌شده نشان می‌دهد که تعداد قابل‌توجهی از وب‌سایت‌های با دامنه «.ir» بر پایه Windows Server میزبانی می‌شوند، که بیانگر اهمیت و نفوذ این محصول در اکوسیستم فناوری اطلاعات کشور است. با این حال، لازم به ذکر است که هیچ آمار رسمی و جامعی در دسترس نیست و این ارقام تنها به‌عنوان شاخص تقریبی و نمایه‌ای محدود از میزان استفاده Windows Server در بازار ایران قابل استناد می‌باشند.

منابع

CVE-2025-59287

Windows Server Update Service (WSUS) Remote Code Execution Vulnerability

CVE-2025-59287 – Windows Server Update Services (WSUS) — Unauthenticated Remote Code Execution via Unsafe Deserialization

Description

Prerequisites

Proof of Concept (PoC)

Expected Result

Mitigation / Patch Guidance

Detection & Monitoring

Incident Response

Disclaimer

CVE-2025-32709

CVE-2025-40083

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ