Les attaquants exploitent désormais une vulnérabilité de gravité critique du service de mise à jour Windows Server (WSUS), qui dispose déjà d’un code d’exploitation de validation de principe accessible au public.
Répertorié comme CVE-2025-59287, ce défaut d’exécution de code à distance (RCE) affecte uniquement les serveurs Windows avec le rôle de serveur WSUS activé pour agir en tant que source de mise à jour pour d’autres serveurs WSUS au sein de l’organisation (une fonctionnalité qui n’est pas activée par défaut).
Les auteurs de menaces peuvent exploiter cette vulnérabilité à distance dans des attaques de faible complexité qui ne nécessitent ni privilèges ni interaction de l’utilisateur, ce qui leur permet d’exécuter du code malveillant avec des privilèges SYSTÈME. Dans ces conditions, la faille de sécurité pourrait également être potentiellement vermifuge entre les serveurs WSUS.
Jeudi, Microsoft a publié des mises à jour de sécurité hors bande pour toutes les versions de Windows Server concernées afin de « traiter de manière exhaustive CVE-2025-59287 » et a conseillé aux administrateurs informatiques de les installer dès que possible:
- Windows Server 2025 (KB5070881)
- Windows Server, version 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
Microsoft a également partagé des solutions de contournement pour les administrateurs qui ne peuvent pas déployer immédiatement les correctifs d’urgence, notamment en désactivant le rôle de serveur WSUS sur les systèmes vulnérables pour supprimer le vecteur d’attaque.
Au cours du week-end, la société de cybersécurité HawkTrace Security a publié un code d’exploitation de validation de principe pour CVE-2025-59287 qui ne permet pas l’exécution arbitraire de commandes.
Exploités à l’état sauvage
La société néerlandaise de cybersécurité Eye Security a rapporté plus tôt aujourd’hui qu’elle avait déjà observé des tentatives d’analyse et d’exploitation ce matin, avec au moins un des systèmes de ses clients compromis à l’aide d’un exploit différent de celui partagé par Hawktrace ce week-end.
De plus, bien que les serveurs WSUS ne soient généralement pas exposés en ligne, Eye Security indique avoir trouvé environ 2 500 instances dans le monde, dont 250 en Allemagne et environ 100 aux Pays-Bas.
Le Centre national de cybersécurité des Pays-Bas (NCSC-NL) a confirmé les conclusions d’Eye Security aujourd’hui, informant les administrateurs du risque accru étant donné qu’un exploit PoC est déjà disponible.
« Le NCSC a appris d’un partenaire de confiance que l’exploitation de la vulnérabilité avec l’identifiant CVE-2025-59287 avait été observée le 24 octobre 2025 », a averti le NCSC-NL dans un avis vendredi.
« Il n’est pas courant qu’un service WSUS soit accessible au public via Internet. Le code de validation de principe public de la vulnérabilité est désormais disponible, ce qui augmente le risque d’exploitation. »
Microsoft a classé CVE-2025-59287 comme « Exploitation plus probable », indiquant qu’il s’agit d’une cible attrayante pour les attaquants; cependant, il n’a pas encore mis à jour son avis pour confirmer l’exploitation active.