مایکروسافت یک به‌روزرسانی خارج از برنامه (out-of-band) منتشر کرد تا یک آسیب‌پذیری بسیار بحرانی در Windows Server Update Service (WSUS) را رفع کند. این آسیب‌پذیری — که با شناسه‌ی CVE-2025-59287 ثبت شده و نمره CVSS آن 9.8 است — امکان اجرای کد از راه دور (Remote Code Execution — RCE) را فراهم می‌کرد و نمونه‌ی اثبات مفهوم (PoC) آن عمومی شده است. گزارش‌ها نشان می‌دهند حملات واقعی (in-the-wild exploitation) روی این ضعف در جریان است.

ماهیت مشکل — «غیرسریال‌سازی ناایمن» در WSUS

آسیب‌پذیری ریشه در غیرسریال‌سازی (unsafe deserialization) داده‌های ارسالی به WSUS دارد. خلاصه فنی مسأله:

نقطه‌ی آسیب‌پذیر، endpoint‌ای است که کوکی‌های مجوز (AuthorizationCookie) را می‌گیرد — داده‌ای که ابتدا با AES-128-CBC رمزگشایی می‌شود و سپس با استفاده از BinaryFormatter دسریالایز می‌گردد.
مشکل این است که BinaryFormatter بدون اعتبارسنجی نوع (type validation) روی داده‌های دریافتی اجرا می‌شود؛ این امر زمینه‌ای برای اجرای کد دلخواه با امتیازات SYSTEM فراهم می‌کند.
مایکروسافت قبلاً به‌طور عمومی هشدار داده بود که BinaryFormatter برای ورودی‌های غیرقابل‌اعتماد امن نیست و پیاده‌سازی آن در .NET 9 حذف شده است، اما کد آسیب‌پذیر هنوز در WSUS وجود داشت.

نکته مهم: این ضعف فقط روی سرورهایی اثر می‌گذارد که WSUS Server Role را فعال کرده‌اند؛ سرورهای ویندوزی بدون نقش WSUS تحت تأثیر قرار نمی‌گیرند.

چگونه مورد سوءاستفاده قرار می‌گیرد؟ شواهد و نمونه‌های حمله

محققان امنیتی و شرکت‌های امنیتی متعددی (Eye Security، Huntress، Palo Alto Unit 42 و غیره) گزارش داده‌اند که بازیگران تهدید، نمونه‌های PoC و اسکن/بهره‌برداری را از حدود 23–24 اکتبر ۲۰۲۵ آغاز کرده‌اند:

حمله‌گران معمولاً نقاط WSUS را در اینترنت پیدا می‌کنند (پورت‌های پیش‌فرض 8530/TCP و 8531/TCP) و درخواست‌های POST ساختگی به سرویس WSUS می‌فرستند که باعث دسریالایز ناایمن و اجرای RCE می‌شود.
Eye Security گزارش داد که در یکی از اکسپلویت ها، payloadی با فرمت Base64 رها شده که یک فایل اجرایی .NET را دانلود و اجرا می‌کرد. این نمونه از هدر درخواست با نام 'aaaa' استفاده می‌کند تا فرمان دلخواه را مخفیانه اجرا کند — یعنی مقدار هدر 'aaaa' به‌عنوان فرمان اجرا می‌شود و از ثبت مستقیم فرمان در لاگ‌ها جلوگیری می‌شود.
Huntress گزارش کرده که اسکَن و هدف‌گیری WSUSهای در دسترس اینترنت از تاریخ 2025-10-23 آغاز شده و برخی نمونه‌ها فوراً cmd.exe و PowerShell را فراخوانی کرده‌اند تا reconnaissance اجرا کنند (whoami, net user /domain, ipconfig /all و غیره)، نتایج را جمع‌آوری و به URL یکتای ساخته‌شده در سرویس webhook[.]site ارسال کنند.
watchTowr و Palo Alto هشدار داده‌اند که برخی نمونه‌ها نشان‌دهنده‌ی اسکن انبوه و نفوذ بی‌هدف (indiscriminate exploitation) است و بیش از 8,000 نمونه WSUS آسیب‌پذیر روی اینترنت شناسایی شده‌اند — شامل اهداف حساس و سازمان‌های باارزش.

مایکروسافت تأکید کرده است که نسخه‌ی به‌روزرسانی‌شده دوباره منتشر شده چون آپدیت اولیه کامل نبوده و «به‌روزرسانی مجدد» لازم بوده است. سازمان‌ها که آخرین پچ‌ها را نصب کنند، طبق گفته‌ی مایکروسافت «در حال حاضر محافظت‌شده» تلقی می‌شوند.

چه اقدام فوری باید بکنیم؟ (توصیه‌های فوری و کارپذیر)

با توجه به وجود PoC عمومی و شواهد امسپلویت فعال، اقدامات زیر فوری و اجباری هستند:

نصب پچ خارج از برنامه (out-of-band)
- مایکروسافت آپدیت ویژه‌ای برای نسخه‌های پشتیبانی‌شده‌ی Windows Server (2012 → 2025 و Server Core 23H2) منتشر کرده — همین حالا نصب کنید و پس از نصب سیستم را ریبوت کنید.
اگر امکان نصب پچ فوری نیست، یکی از دو راهکار موقت را اعمال کنید (و تا نصب پچ، آن‌ها را برنگردانید):
- نقش WSUS را غیرفعال کنید (Disable WSUS Server Role) — اگر برای محیط شما امکان‌پذیر و عملی است.
- ترافیک ورودی روی پورت‌های WSUS را بلاک کنید — پورت‌های TCP 8530 و 8531 را در فایروال‌ها مسدود کنید تا دسترسی اینترنتی به WSUS قطع شود.
بررسی لاگ‌ها و نشانه‌های آلودگی
- به دنبال فرآیندهایی مثل spawn شدن ناگهانی cmd.exe یا اجرای PowerShell در کنار wsusservice.exe یا wsusworker.exe بگردید.
- لاگ‌ها را برای درخواست‌هایی با هدر نام‌ناشناس (مثل 'aaaa') یا POSTهای مشکوک به endpointهای WSUS چک کنید.
ممیزیِ سرویس‌های WSUS در شبکه
- مطمئن شوید WSUS به‌طور غیرضروری از اینترنت قابل دسترس نیست؛ WSUS یک سرویس داخلی (internal patch distribution) است و نباید مستقیماً در معرض اینترنت قرار گیرد.
در صورت تشخیص نفوذ، فرض کنید که سیستم‌ها در معرض هستند
- اگر نمونه‌ای از بهره‌برداری پیدا شد، آن‌ها را جدا (isolate) کنید، از دیسک ایمیج Forensic بگیرید و با تیم‌های پاسخ به حادثه یا CISA/نهادهای محلی تماس بگیرید.

پیام نهادهای مهم و مهلت‌ها

CISA این ضعف را در فهرست Known Exploited Vulnerabilities (KEV) قرار داده و آژانس‌های فدرال باید تا 14 نوامبر ۲۰۲۵ آن را رفع کنند.
Palo Alto Unit 42، Huntress، watchTowr، Eye Security و دیگران هم وقوع اسکن و بهره‌برداری فعال را تایید کرده‌اند.
مایکروسافت گفته آپدیت بازنشر شده کامل است؛ با این حال سازمان‌ها نباید به فرض «به‌روزرسانی قبلی» اکتفا کنند و باید آخرین پچ را تأیید و نصب کنند.

چرا این حمله خطرناک است؟

WSUS مسئول توزیع پچ‌ها و به‌روزرسانی‌هاست؛ اگر یک مهاجم WSUS را در اختیار بگیرد، می‌تواند به عنوان «منبع به‌ظاهر قابل‌اعتماد» بدافزار یا به‌روزرسانی‌های دستکاری‌شده را بین همه‌ی کلاینت‌ها و سرورهای سازمان پخش کند — نوعی «زنجیره‌ی عرضه داخلی» (internal supply-chain attack) با اثرات فاجعه‌آمیز.
ضعف به‌صورت pre-auth (بدون نیاز به احراز هویت) قابل اکسپلویت است و اجرای کد با امتیازات SYSTEM را ممکن می‌سازد.
وجود PoC عمومی و نمونه‌های در حال اکسپلویت، شانس آلوده‌شدن سریع سیستم‌های آسیب‌پذیر را بسیار بالا برده است.

جمع‌بندی

✅ اگر WSUS دارید: همین الان آخرین پچ مایکروسافت برای CVE-2025-59287 را نصب و سرور را ریبوت کنید.
✅ اگر فوراً نمی‌توانید پچ کنید: WSUS role را غیرفعال کنید یا پورت‌های 8530/8531 را بلاک کنید.
✅ لاگ‌ها و فرآیندهای مشکوک را بررسی کنید؛ در صورت شواهد نفوذ، سرورها را ایزوله و برای تحلیل فورنزیک اقدام کنید.
⚠️ WSUS نباید مستقیماً در بستر اینترنت قرار گیرد — این یک سرویس داخلی برای توزیع به‌روزرسانی است، نه سرویسِ پابلیک.

چک‌لیست فوری برای تیم فنی / SOC (قابل اجرا)

A. اقدامات فوری (فوراً انجام شود)

✅ بررسی: آیا WSUS Server Role روی هر سرور در شبکه فعال است؟ (yes/no)
✅ اگر فعال است — در اسرع وقت پچ خارج از برنامه مایکروسافت را نصب و سیستم را ریبوت کن.
✅ اگر امکان نصب فوری نیست:
- غیرفعال کردن WSUS Server Role (Disable WSUS role) — یا
- بلاک کردن ترافیک ورودی TCP روی پورت‌های 8530 و 8531 در فایروال شبکه و هاست.
✅ اطمینان از اینکه هیچ نمونه WSUS به‌طور مستقیم به اینترنت در دسترس نیست (scan public IPs / Shodan).

B. شواهد اکسپلویت و تشخیص (Investigation)

🔍 لاگ‌ها را بررسی کن برای: spawn ناگهانی cmd.exe یا اجرای PowerShell از فرآیندهای مرتبط با WSUS (wsusservice.exe, wsusworker.exe).
🔍 جستجوی درخواست‌های POST مشکوک به endpointهای WSUS و هدرهای غیرعادی (مثلاً هدر 'aaaa' یا هدرهای عجیب).
🔍 بررسی اتصال‌های خروجی که داده‌ها را به دامنه/URL های ناشناس یا webhook[.]site ارسال می‌کنند.
🧩 اگر نشانه‌ای از اکسپلویت یافت شد: جدا کردن (isolate) سرور/VM، گرفتن ایمیج فورنزیک از دیسک و RAM، ذخیره لاگ‌ها و شواهد.

C. پاک‌سازی و بازگردانی (Remediation)

♻️ اجرای full antivirus/EDR scan + پاک‌سازی نمونه‌های مخرب.
🔐 ری‌اعتبارسنجی و ری‌ساختن گواهی‌ها/توکن‌های مربوط به سرویس‌ها (در صورت شک به لو رفتن).
🔁 بررسی و بازبینی سیاست‌های شبکه: WSUS نباید از اینترنت قابل دسترسی باشد؛ محدود کردن دسترسی به subnetwork یا management VLAN.
📣 اطلاع‌رسانی: اگر سازمان فدرال/مقرراتی هستید، مطابق KEV/CISA اقدام و گزارش دهید.

D. پیشگیری بلندمدت

🧰 حذف/جایگزینی کد استفاده‌کننده از BinaryFormatter؛ استفاده از serializerهای امن (مثلاً System.Text.Json یا protobuf با اعتبارسنجی ساختار).
🔎 پایش مداوم پورت‌های WSUS و ruleهای IDS/IPS برای الگوهای exploit.
📚 آموزش تیم و playbook پاسخ برای اکسپلویت‌های مشابه (به‌روزرسانی فرآیندها).

منابع:

https://thehackernews.com/2025/10/microsoft-issues-emergency-patch-for.html

بحرانی در WSUS؛ پچ تازه مایکروسافت با PoC عمومی و اکسپلویت فعال هدف قرار گرفت!