A Cybersecurity and Infrastructure Security Agency (CISA) determinou que agências do governo dos Estados Unidos apliquem imediatamente patches para uma vulnerabilidade crítica no Windows Server Update Services (WSUS).
A falha, identificada como
CVE-2025-59287
, foi incluída no catálogo de vulnerabilidades conhecidas por estarem sendo exploradas em ataques reais.
Trata-se de uma vulnerabilidade de execução remota de código (RCE) com potencial de propagação automática (wormable), que afeta servidores Windows com o papel WSUS Server ativo — recurso que não vem habilitado por padrão.
Esses servidores funcionam como fontes de atualização para outros WSUS dentro da mesma organização.
O ataque pode ser realizado remotamente, sem exigir interação do usuário ou privilégios prévios, permitindo que invasores obtenham privilégios de SYSTEM e executem código malicioso.
A complexidade do exploit é baixa, o que facilita sua exploração.
Na quinta-feira, após a empresa de segurança HawkTrace Security divulgar um código proof of concept (PoC) para essa exploração, a Microsoft liberou atualizações de segurança fora do ciclo regular para corrigir a vulnerabilidade em todas as versões afetadas do Windows Server.
A recomendação às equipes de TI é aplicar esses patches o quanto antes.
Para aquelas que não conseguirem fazer isso imediatamente, a orientação emergencial é desabilitar o papel WSUS Server nos sistemas vulneráveis, reduzindo a superfície de ataque.
No mesmo dia do lançamento dos patches, a empresa americana Huntress identificou evidências de ataques direcionados a instâncias WSUS com as portas padrão (8530/TCP e 8531/TCP) expostas na internet.
Na manhã de sexta-feira, a holandesa Eye Security também detectou tentativas de varredura e exploração, com ao menos um cliente comprometido por uma vulnerabilidade diferente da que a HawkTrace divulgou durante o fim de semana.
Embora a Microsoft tenha classificado a falha como “Exploitation More Likely” — indicando que é um alvo atrativo para criminosos —, ainda não atualizou seu advisory para confirmar exploração ativa em larga escala.
Desde então, o grupo de monitoramento Shadowserver acompanha mais de 2.800 instâncias WSUS com as portas padrão abertas na internet, sem informar quantas delas já receberam os patches.
Na sexta-feira, a CISA adicionou uma segunda vulnerabilidade no Adobe Commerce (antigo Magento), também identificada como explorada em ataques recentes.
Ambas as falhas foram incluídas no Known Exploited Vulnerabilities catalog, que reúne vulnerabilidades sendo exploradas ativamente.
De acordo com a Binding Operational Directive (BOD) 22-01, emitida em novembro de 2021, órgãos do Federal Civilian Executive Branch (FCEB) dos EUA devem corrigir esses sistemas em até três semanas, ou seja, até 14 de novembro, para evitar possíveis invasões.
Embora essa obrigação seja válida apenas para agências governamentais americanas, administradores e profissionais de segurança ao redor do mundo devem dar prioridade máxima à aplicação desses patches.
“Esse tipo de vulnerabilidade é um vetor frequente de ataques maliciosos e representa riscos significativos para o ambiente federal”, alerta a CISA.
A agência reforça: “Recomendamos fortemente que as organizações implementem as diretrizes atualizadas da Microsoft para a vulnerabilidade de execução remota de código no Windows Server Update Services, sob risco de permitir que agentes não autenticados obtenham execução remota com privilégios de sistema”.
Para mitigar a falha
CVE-2025-59287
, a CISA orienta identificar todos os servidores vulneráveis, aplicar as atualizações fora do ciclo regular recomendadas e reiniciar os servidores WSUS após a instalação para garantir proteção completa, incluindo os demais servidores Windows da rede.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...