WSUS 服务未认证远程代码执行漏洞深度剖析

概述

在 Microsoft Windows Server Update Services (WSUS)中发现了一个严重的反序列化漏洞，允许未经认证的攻击者在受影响的服务器上执行任意代码。该漏洞由 WSUS 数据(AuthorizationCookie)的不安全反序列化触发，能够以 SYSTEM 权限实现远程代码执行，并已在活跃攻击活动中被观察到。在最初的 Patch Tuesday 修复未能完全解决问题后，Microsoft 发布了带外(OOB)更新。

CVE ID: CVE-2025-59287

严重等级: 严重

CVSS 评分: 9.8

EPSS 评分: 9.40%

影响: 远程代码执行

攻击向量: 网络

需要认证: 否

易受攻击组件: Windows Server Update Services 中的 WSUS 反序列化代码路径(/SimpleAuthWebService/SimpleAuth.asmx)

技术分析

CVE-2025-59287 是 Microsoft Windows Server Update Services (WSUS)中不安全反序列化的结果。WSUS 接受 AuthorizationCookie 有效载荷，该载荷被解密后使用传统的.NET 格式化程序（特别是 BinaryFormatter，在某些代码路径中为 SoapFormatter）进行反序列化，但没有足够的类型验证或允许列表。攻击者可以提供一个特制的加密 AuthorizationCookie，在解密后包含恶意的序列化对象图，利用反序列化接收器实现任意对象实例化和后续执行。

研究和事件报告已识别出多个利用路径。一个向量针对 GetCookie()流程，其中伪造的 cookie 被解密并直接传递到 BinaryFormatter 反序列化；序列化有效载荷中合适的 gadget 链可以在 WSUS 进程上下文中触发远程代码执行。第二个向量利用 WSUS 报告 Web 服务（例如 ReportingWebService.asmx），其中特制的 SOAP 请求可以到达 SoapFormatter 反序列化接收器。两条路径均可通过网络访问，并且在可访问时无需认证即可利用。

成功利用可在 WSUS 服务权限（通常为 SYSTEM）下实现任意代码执行，从而允许立即服务器入侵、持久化机制（Web shell、计划任务或服务）以及将主机用作横向移动的支点。该漏洞被归类为不安全反序列化（CWE-502），并因其未经认证、网络可访问的特性被评为严重严重等级（CVSS 9.8）。

利用条件

• WSUS 服务器角色必须安装在域控制器上

• WSUS 实例必须未修补 CVE-2025-59287（未安装 KB5070881/KB5070882/KB5070883）

利用过程

对于利用，我们将使用 Offsec 平台提供的 Windows In-Browser 机器。要使用的概念验证实现是 CVE-2025-59287-WSUS。

第一步是编辑漏洞利用的 Parameters 部分以配置攻击者和目标详细信息。我们将设置监听主机的 IP 地址、WSUS 服务目标 URL 以及我们将接收反向 shell 的本地端口。

# parameters$lhost = "192.168.49.51"    # your kali netcat host$lport = 53$targetURL = "http://192.168.51.89:8530"  # WSUS URL

该脚本自动化创建和交付序列化有效载荷到 WSUS ReportingWebService 端点，以在 WSUS 控制台处理注入事件时实现远程代码执行。它通过多个 SOAP 调用获取或伪造所需的 WSUS 授权 cookie/ID，构建包含 base64 编码的序列化 gadget 链（使用 ysoserial.net 生成）的恶意 ReportEventBatch XML，该链嵌入了 PowerShell 反向 shell，并将该事件发布到目标服务。

当管理员打开 WSUS 管理控制台时，反向 shell 有效载荷将被触发。

动手尝试：您可以通过 OffSec Offensive Cyber Range 实验室为 CVE-2025-59287 在受控环境中尝试利用这些漏洞。

缓解措施

• 立即使用 Microsoft 2025 年 10 月 23 日的带外安全更新更新 WSUS 和 Windows Server

• 如果 WSUS 非必需，在完全修补前禁用 WSUS 服务器角色

• 限制 WSUS 网络访问——阻止或过滤到管理端口（TCP 8530 和 8531）的入站连接，仅允许受信任的子网，并应用出站过滤以防止回调、有效载荷下载或反向 shell 连接

参考资料

• NVD Entry for CVE-2025-59287

• CVE Details for CVE-2025-59287

• Microsoft KB Article for CVE-2025-59287 (KB5070882)

• MSRC Advisory for CVE-2025-59287

• CISA KEV Advisory for CVE-2025-59287

• Unit42 Technical Writeup for CVE-2025-59287

• Huntress Exploitation Report for CVE-2025-59287

• Rapid7 Analysis for CVE-2025-59287

• PoC / Technical writeup: WSUS AuthorizationCookie Deserialization (HawkTrace)

• PoC repository: CVE-2025-59287-WSUS (tecxx GitHub)更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享