Microsoft a publié des mises à jour de sécurité hors bande (OOB) pour corriger une vulnérabilité de gravité critique du service de mise à jour Windows Server (WSUS) avec un code d’exploitation de validation de principe accessible au public.
WSUS est un produit Microsoft qui permet aux administrateurs informatiques de gérer et de fournir des mises à jour Windows aux ordinateurs de leur réseau.
Suivi comme CVE-2025-59287 et corrigé lors du Patch Tuesday de ce mois-ci, cette faille de sécurité d’exécution de code à distance (RCE) affecte uniquement les serveurs Windows avec le rôle de serveur WSUS activé, une fonctionnalité qui n’est pas activée par défaut.
La vulnérabilité peut être exploitée à distance dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur, ce qui permet aux acteurs de la menace sans privilèges de cibler les systèmes vulnérables et d’exécuter du code malveillant avec des privilèges SYSTÈME. Cela le rend potentiellement vermifuge entre les serveurs WSUS.
« Les serveurs Windows sur lesquels le rôle de serveur WSUS n’est pas activé ne sont pas vulnérables à cette vulnérabilité. Si le rôle de serveur WSUS est activé, le serveur deviendra vulnérable si le correctif n’est pas installé avant que le rôle de serveur WSUS ne soit activé », a expliqué Microsoft.
« Un attaquant distant non authentifié pourrait envoyer un événement contrefait qui déclenche une désérialisation d’objet non sécurisée dans un mécanisme de sérialisation hérité, entraînant l’exécution de code à distance. »
Microsoft a publié des mises à jour de sécurité pour toutes les versions de Windows Server concernées et a conseillé aux clients de les installer dès que possible:
- Windows Server 2025 (KB5070881)
- Windows Server, version 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
Comme Microsoft l’a révélé jeudi dans une mise à jour de l’avis de sécurité d’origine, un exploit de validation de principe CVE-2025-59287 est désormais également disponible en ligne, ce qui rend encore plus critique la correction immédiate des serveurs vulnérables.
Microsoft a également partagé des solutions de contournement pour les administrateurs qui ne peuvent pas installer immédiatement ces correctifs d’urgence, notamment la désactivation du rôle de serveur WSUS pour supprimer le vecteur d’attaque ou le blocage de tout le trafic entrant vers les ports 8530 et 8531 sur le pare-feu hôte pour rendre WSUS non opérationnel.
Cependant, il est important de noter que les points de terminaison Windows cesseront de recevoir des mises à jour du serveur local après la désactivation de WSUS ou le blocage du trafic.
« Il s’agit d’une mise à jour cumulative, vous n’avez donc pas besoin d’appliquer de mises à jour précédentes avant d’installer cette mise à jour, car elle remplace toutes les mises à jour précédentes pour les versions affectées », a ajouté Microsoft.
« Si vous n’avez pas encore installé la mise à jour de sécurité Windows d’octobre 2025, nous vous recommandons d’appliquer cette mise à jour OOB à la place. Après avoir installé la mise à jour, vous devrez redémarrer votre système. »
Dans un document de support séparé, Microsoft a déclaré que WSUS n’affichera plus les détails des erreurs de synchronisation après l’installation de ces mises à jour ou de mises à jour ultérieures, car cette fonctionnalité a été temporairement supprimée pour résoudre la vulnérabilité CVE-2025-59287 RCE.