Microsoft corre ai ripari: scoperta falla critica nel servizio WSUS

Microsoft ha distribuito nuovi aggiornamenti di sicurezza "fuori banda" per correggere una vulnerabilità critica nel Windows Server Update Service, identificata con il codice CVE-2025-59287. La falla, che ha ricevuto un punteggio CVSS di 9.8, consente a un attaccante remoto non autenticato di eseguire codice arbitrario sui server vulnerabili con privilegi di sistema. Le patch di emergenza, pubblicate il 23 ottobre, si sono rese necessarie dopo che è emerso come la correzione distribuita durante il Patch Tuesday di ottobre non fosse sufficiente a risolvere completamente il problema di sicurezza.

La vulnerabilità interessa esclusivamente i server Windows che hanno abilitato il ruolo WSUS Server, una funzionalità non attiva per impostazione predefinita. Il problema risiede nella "deserializzazione non sicura dei dati all'interno dei servizi web di reportistica di WSUS", spiega Microsoft, in particolare nel metodo .NET BinaryFormatter.Deserialize(). Gli attaccanti possono sfruttare la falla inviando richieste SOAP appositamente costruite all'endpoint /ClientWebService/Client.asmx, includendo un oggetto dannoso che, una volta decriptato e deserializzato, consente l'esecuzione di codice malevolo. Diverse società di sicurezza (ad esempio Huntress) hanno confermato l'osservazione di tentativi di sfruttamento attivo già dal 24 ottobre.

HawkTrace Security ha reso disponibile durante il fine settimana un codice proof-of-concept per CVE-2025-59287, cosa che potrebbe potenzialmente accelerare la diffusione degli attacchi. Eye Security ha riportato di aver individuato circa 2.500 istanze di server WSUS esposte pubblicamente a livello globale, con concentrazioni significative anche in Europa. Dal canto suo, inoltre, Microsoft ha classificato CVE-2025-59287 come "Exploitation More Likely", indicando che rappresenta un obiettivo particolarmente attraente per gli aggressori. L'azienda ha rilasciato aggiornamenti di sicurezza specifici per tutte le versioni interessate di Windows Server: KB5070881 per Server 2025, KB5070879 per Server 23H2, KB5070884 per Server 2022, KB5070883 per Server 2019, KB5070882 per Server 2016, KB5070886 per Server 2012 R2 e KB5070887 per Server 2012. Gli aggiornamenti sono cumulativi e non richiedono l'installazione delle patch precedenti, e necessitano del riavvio del sistema per completare l'applicazione. Gli amministratori che non possono distribuire immediatamente le patch possono adottare soluzioni temporanee come la disabilitazione del ruolo WSUS Server o il blocco del traffico in ingresso sulle porte 8530 e 8531, anche se queste misure renderebbero il servizio di aggiornamento non operativo.

La natura della vulnerabilità ne potrebbe facilitare la diffusione tra server WSUS, aumentando il rischio di propagazione automatica all'interno di reti aziendali, con gli esperti di sicurezza che raccomandano agli amministratori IT di verificare la presenza di attività sospette nei log, cercando richieste POST anomale a /ClientWebService/Client.asmx o processi di dubbia provenienza.