A Microsoft lançou atualizações de segurança fora do ciclo regular (out-of-band - OOB) para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS), para a qual já existe um exploit proof-of-concept (PoC) disponível publicamente.
O WSUS é uma ferramenta da Microsoft que permite aos administradores de TI gerenciar e distribuir atualizações do Windows para computadores dentro da rede corporativa.
Identificada como
CVE-2025-59287
e corrigida no Patch Tuesday deste mês, essa falha de execução remota de código (RCE) afeta exclusivamente servidores Windows com a função WSUS Server habilitada — recurso que não vem ativado por padrão.
A vulnerabilidade possibilita ataques remotos de baixa complexidade, sem necessidade de interação do usuário.
Isso permite que invasores sem privilégios explorem sistemas vulneráveis e executem código malicioso com privilégios de SYSTEM.
Por esse motivo, a falha tem potencial para se propagar automaticamente entre servidores WSUS, funcionando como um worm.
Conforme explica a Microsoft, “servidores Windows que não tenham a função WSUS habilitada não são vulneráveis.
Se a função WSUS for ativada, o servidor se torna vulnerável caso o patch não tenha sido aplicado antes da ativação”.
O problema ocorre devido a um mecanismo antigo de serialização insegura, que pode ser explorado por atacantes remotos e não autenticados ao enviarem eventos especialmente criados para disparar a execução remota de código.
A Microsoft disponibilizou atualizações para todas as versões do Windows Server afetadas e recomenda que os administradores as instalem imediatamente.
Confira as atualizações mais recentes:
- Windows Server 2025 (KB5070881)
- Windows Server, versão 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
Em uma atualização publicada na quinta-feira, junto ao boletim original, a Microsoft confirmou que o exploit PoC para a
CVE-2025-59287
já está disponível online, reforçando a urgência da aplicação do patch.
Para quem não pode aplicar a correção imediatamente, a empresa sugere duas medidas temporárias: desabilitar a função WSUS Server, eliminando o vetor de ataque, ou bloquear as portas 8530 e 8531 no firewall do servidor para impedir o tráfego WSUS.
Contudo, é fundamental alertar que, nessas condições, os endpoints Windows deixarão de receber atualizações locais do servidor WSUS.
Por fim, a Microsoft ressalta que esta é uma atualização cumulativa, o que significa que não é necessário instalar patches anteriores para receber a correção.
“Se ainda não aplicou a atualização de segurança de outubro de 2025, recomendamos instalar esta atualização OOB imediatamente.
Após a instalação, será necessário reiniciar o sistema”, conclui a empresa.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...