CVE-2025-59287（RCE 漏洞）将 WSUS 变为攻击载体：使用 ADAudit Plus 追踪可疑进程行为

Windows 服务器更新服务（WSUS）存在一个严重的远程代码执行（RCE）漏洞（CVE-2025-59287）。

攻击者可以 SYSTEM 权限执行代码，实现服务器完全接管、数据窃取和横向移动。研究人员已确认该漏洞存在活跃利用情况。

请立即安装微软的紧急补丁，并重启 WSUS 服务器。限制对 WSUS 的网络访问，监控 8530 和 8531 端口的流量。

检查 SoftwareDistribution.log 日志和进程活动（如 w3wp.exe 衍生 cmd.exe），排查入侵迹象。

配置 ADAudit Plus 告警，检测 WSUS 是否遭入侵，确认服务器是否已受影响。

接下来，我们将详细解析该 WSUS 漏洞的工作原理、无需原生工具即可快速排查 WSUS 入侵的方法，以及如何通过 卓豪 ADAudit Plus 实时检测 CVE-2025-59287（RCE 漏洞）。

漏洞为何引发关注？

2025 年 10 月 23 日，微软意外发布紧急更新，修复了编号为 CVE-2025-59287 的严重 WSUS 漏洞。该远程代码执行（RCE）漏洞已被用于活跃攻击，威胁 actors 可完全控制未打补丁的 WSUS 服务器。

什么是 WSUS？

Windows 服务器更新服务（WSUS）是微软推出的一款工具，帮助企业在内部网络中集中下载、管理和部署 Windows 设备的更新程序。

单台 WSUS 服务器可管理 10 万台客户端设备，使其成为企业安全环境中的高价值目标（来源参考）。

由于 WSUS 拥有高级权限，且控制着众多系统的软件更新，遭入侵的 WSUS 服务器会成为攻击者的强力入口，助力其在网络中横向移动或获取更高权限。

CVE-2025-59287 的严重程度如何？

CVE-2025-59287 是 WSUS 中的严重漏洞，攻击者无需登录即可远程在服务器上执行命令。

该漏洞源于 WSUS 处理特定更新请求的方式，攻击者可利用这一缺陷，诱骗服务器执行自身代码并获取完整系统权限。一旦成功利用，攻击者可以 SYSTEM 权限执行任意代码，完全控制 WSUS 服务器，进而实施数据窃取、持久化驻留和网络横向移动。

CVE-2025-59287 利用时间线

2025 年 10 月 14 日：微软首次披露 CVE-2025-59287，并在 10 月 “补丁星期二” 中发布修复补丁，但该补丁并不完整。↓2025 年 10 月 23 日：微软针对 CVE-2025-59287（WSUS 远程代码执行漏洞）发布紧急补丁，安装后需重启服务器。↓2025 年 10 月 23 日：全球网络安全公司 Huntress 观察到针对暴露在 8530 和 8531 端口的 WSUS 服务器的早期利用行为。↓2025 年 10 月 24 日：荷兰国家网络安全中心确认漏洞存在活跃利用；Eye Security 报告发现一个.NET 载荷正在执行系统命令。↓2025 年 10 月 24 日：公开的漏洞利用概念验证（PoC）代码及分析报告发布，加速了漏洞武器化进程。↓2025 年 10 月 27 日：安全厂商指出攻击已呈规模化；美国网络安全与基础设施安全局（CISA）将该漏洞纳入已知被利用漏洞（KEV）目录，设定 11 月 14 日为修复截止日期。

利用原生方法检测 WSUS 入侵

在 WSUS 服务器的 SoftwareDistribution.log 日志中，查找以下关键入侵指标：

攻击后日志中常出现的错误

SoapUtilities.CreateException ThrowException: actor = https://<主机名>:8531/ClientWebService/client.asmx

触发攻击的恶意请求中特有的文本模式

AAEAAAD/////AQAAAAAAAAAEAQAAAH9

攻击者 IP 地址

检查 WSUS 服务器是否收到来自该地址的流量：207.180.254 [.] 242

攻击中使用的恶意程序文件哈希

若服务器上出现该哈希值，可能已遭入侵：ac7351b617f85863905ba8a30e46a112a9083f4d388fd708ccfe6ed33b5cf91d

审查进程日志中的可疑活动

如 w3wp.exe 或 wsusservice.exe 启动 cmd.exe 或 powershell.exe，可能表明漏洞已被成功利用。

借助 ADAudit Plus 一键排查 WSUS 入侵

无需原生工具或手动搜索日志，快速验证 WSUS 服务器是否遭入侵。

1. 打开 ADAudit Plus 控制台。

2. 进入 “服务器审核” 选项卡。

3. 在 “进程追踪” 下，选择 “新建进程创建” 报告。

4. 点击 “高级搜索”，设置以下筛选条件：

父进程名称 → 结尾为 → wsusservice.exe，或

父进程名称 → 结尾为 → w3wp.exe

1. 点击 “搜索”。

若发现 wsusservice.exe 或 w3wp.exe 衍生出可疑子进程（如 powershell.exe 或 cmd.exe），则强烈表明 CVE-2025-59287 可能已被利用。

防御 CVE-2025-59287，保护 WSUS 环境

为防范 CVE-2025-59287 及其他类似漏洞，可采取以下措施：

立即安装微软安全更新

微软已发布专门的紧急补丁修复该漏洞。请在所有运行 WSUS 角色的服务器上应用此更新，并重启服务器完成安装。如需详细信息，点击此处。

限制 WSUS 服务器访问权限

仅允许可信管理主机或内部更新客户端连接。如有可能，将 WSUS 服务器部署在防火墙后方，或通过网络分段限制入站连接。

关闭或监控 WSUS 端口（8530 和 8531）

若 WSUS 必须保持可访问状态，需限制或密切监控这些端口的流量，警惕扫描或漏洞利用尝试。

审查 WSUS 权限设置

确保仅管理员可访问 WSUS 管理控制台和更新审批设置，防止滥用。

利用入侵指标强化 SIEM 和 EDR 检测能力

将这些入侵指标（IoCs）集成到 SIEM 和 EDR 平台中，实现持续监控和告警。

实时监控 CVE-2025-59287：通过 ADAudit Plus 配置自定义告警捕获 WSUS 漏洞利用尝试

以下将介绍如何在 ADAudit Plus 中创建自定义告警，监控 WSUS 服务器上的异常进程创建活动。

1. 进入 “配置” 选项卡，点击 “新建告警配置文件” 开始操作。

2. 为告警命名，如需可添加描述。

3. 根据企业风险标准，设置所需的严重级别。

4. 在 “类别” 中选择 “全部”，然后选择名为 “Sysmon 审计” 的报表配置文件。

5. 在 “高级配置” 中，勾选 “筛选器” 复选框，点击 “添加筛选条件”。

6. 设置筛选条件如下：

父进程镜像 → 结尾为 → wsusservice.exe，或

父进程镜像 → 结尾为 → w3wp.exe，且

父进程命令行 → 包含 → wsuspool，且

进程名称 → 结尾为 → cmd.exe;powershell.exe

1. 点击 “更改模式”，将条件模式设置为：(1 或 (2 且 3 且 4))。

告警配置完成后，任何匹配筛选条件的进程活动都会触发告警，可在 “告警” 选项卡中查看。

如需详细信息（包括更改执行者、执行时间和来源），可进入 “Active Directory” 选项卡 > “Sysmon 审计”。这有助于验证活动是否来自合法来源，是否符合企业安全策略。

关于 ManageEngine ADAudit Plus

ManageEngine ADAudit Plus 是一款基于用户行为分析（UBA）驱动的变更审计解决方案，可覆盖你的 Active Directory（AD）、文件服务器、Windows 服务器及工作站，确保责任追溯、安全性与合规性。