Saldırganlar artık, halihazırda genel kullanıma açık kavram kanıtı yararlanma koduna sahip olan, kritik öneme sahip bir Windows Server Güncelleme Hizmetleri (WSUS) güvenlik açığından yararlanıyor.
CVE-2025-59287 olarak izlenen bu uzaktan kod yürütme (RCE) kusuru, yalnızca kuruluş içindeki diğer WSUS sunucuları için güncelleme kaynağı görevi görecek şekilde WSUS Sunucusu rolünün etkinleştirildiği Windows sunucularını etkiler (varsayılan olarak etkin olmayan bir özellik).
Tehdit aktörleri, ayrıcalık veya kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda bu güvenlik açığından uzaktan yararlanarak SİSTEM ayrıcalıklarıyla kötü amaçlı kod çalıştırabilirler. Bu koşullar altında, güvenlik açığı WSUS sunucuları arasında da potansiyel olarak solucan oluşturabilir.
Perşembe günü Microsoft, etkilenen tüm Windows Server sürümleri için "CVE-2025-59287'yi kapsamlı bir şekilde ele almak" üzere bant dışı güvenlik güncelleştirmeleri yayınladı ve BT yöneticilerine bunları mümkün olan en kısa sürede yüklemelerini tavsiye etti:
Microsoft ayrıca, saldırı vektörünü ortadan kaldırmak için savunmasız sistemlerde WSUS Sunucusu rolünün devre dışı bırakılması da dahil olmak üzere, acil durum düzeltme eklerini hemen dağıtamayan yöneticiler için geçici çözümler de paylaştı.
Hafta sonu siber güvenlik firması HawkTrace Security, CVE-2025-59287 için keyfi komut yürütülmesine izin vermeyen kavram kanıtlı yararlanma kodunu yayınladı.
Hollandalı siber güvenlik firması Eye Security bugün erken saatlerde, bu sabah zaten tarama ve istismar girişimlerini gözlemlediğini, müşterilerinin en az birinin sisteminin Hawktrace tarafından hafta sonu paylaşılandan farklı bir istismar kullanılarak ele geçirildiğini bildirdi.
Ayrıca, WSUS sunucuları genellikle çevrimiçi olarak açığa çıkmasa da Eye Security, 250'si Almanya'da ve yaklaşık 100'ü Hollanda'da olmak üzere dünya çapında yaklaşık 2.500 örnek bulduğunu söylüyor.
Amerikan siber güvenlik şirketi Huntress ayrıca 23 Ekim Perşembe gününden itibaren varsayılan bağlantı noktaları (8530/TCP ve 8531/TCP) çevrimiçi olarak açığa çıkan WSUS örneklerini hedef alan CVE-2025-59287 saldırılarına ilişkin kanıtlar buldu.
Huntress, "CVE-2025-59287'nin kullanımının sınırlı olmasını bekliyoruz; WSUS, 8530 ve 8531 numaralı bağlantı noktalarını sıklıkla açığa çıkarmıyor. İş ortağı tabanımızda yaklaşık 25 ana bilgisayarın duyarlı olduğunu gözlemledik" dedi.
Huntress tarafından gözlemlenen saldırılarda tehdit aktörleri, dahili Windows etki alanını keşfeden ve daha sonra bir web kancasına gönderilen bir PowerShell komutunu çalıştırdı.
Bu veriler aşağıdaki komutların çıktısını içeriyordu:
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC-NL) bugün iki şirketin bulgularını doğruladı ve yöneticilere bir PoC istismarının zaten mevcut olması nedeniyle artan risk konusunda tavsiyede bulundu.
NCSC-NL Cuma günü yayınlanan bir danışma belgesinde, "NCSC, güvenilir bir ortaktan, CVE-2025-59287 tanımlayıcılı güvenlik açığından yararlanılmasının 24 Ekim 2025'te gözlemlendiğini öğrendi." diye uyardı.
"Bir WSUS hizmetinin internet üzerinden herkese açık olarak erişilebilir olması yaygın bir uygulama değildir. Güvenlik açığına ilişkin genel kavram kanıt kodu artık mevcut, bu da kötüye kullanım riskini artırıyor."
Microsoft, CVE-2025-59287'yi "Sömürü Olasılığı Daha Yüksek" olarak sınıflandırarak saldırganlar için cazip bir hedef olduğunu belirtti; ancak aktif istismarı onaylamak için tavsiyesini henüz güncellemedi.
Güncelleme 24 Ekim 13:51 EDT: Huntress Labs'ın aktif istismarına ilişkin daha fazla ayrıntı eklendi.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
CISA, federallere saldırılarda kullanılan Windows Server WSUS kusurunu düzeltme emri verdi
Windows Server acil durum düzeltme ekleri, PoC istismarıyla ilgili WSUS hatasını düzeltti
84.000'den fazla Roundcube örneği aktif olarak istismar edilen kusurlara karşı savunmasız
Yaklaşık 50.000 Cisco güvenlik duvarı aktif olarak istismar edilen kusurlara karşı savunmasız
2.000'den fazla Palo Alto güvenlik duvarı yakın zamanda yamalanan hatalar kullanılarak hacklendi
Kaynak: Bleeping Computer