کمیته رکن چهارم– مایکروسافت بهدنبال کشف آسیبپذیری بحرانی در Windows Server Update Services (WSUS) با شناسه CVE-2025-59287، یک وصله امنیتی خارج از برنامه منتشر کرده است. این نقص با امتیاز CVSS معادل ۹.۸، به مهاجمان اجازه میدهد بدون احراز هویت و از طریق شبکه، کد دلخواه را از راه دور اجرا کنند.
به گزارش کمیته رکن چهارم، این آسیبپذیری از ضعف در واگشایی ناامن دادهها ناشی میشود که در متد GetCookie در نقش WSUS Server Role رخ داده است. مهاجمان با ارسال کوکی رمزگذاریشده با الگوریتم AES-128-CBC، موفق به اجرای کد از طریق BinaryFormatter شدهاند. بهرهبرداری از این نقص از تاریخ ۲۳ اکتبر ۲۰۲۵ توسط شرکت Huntress و یک روز بعد توسط Eye Security ثبت شده است.
طبق اعلام NCSC هلند، فایلهای اجرایی از طریق هدرهای HTTP و بدون ثبت در لاگ سیستم، بر روی سرورهای آسیبپذیر اجرا شدهاند. حملات با استفاده از cmd.exe و PowerShell، کدهای مخرب رمزگذاریشده با Base64 را دانلود و اجرا کردهاند. هدف این کدها استخراج اطلاعات کاربر و ارسال به دامنههای ناشناس بوده است.
وصله امنیتی جدید شامل نسخههای مختلف Windows Server از ۲۰۱۲ تا ۲۰۲۵ میشود. مایکروسافت تاکید کرده است که کاربران باید سیستم را پس از بهروزرسانی راهاندازی مجدد کنند و تا پیش از نصب، نقش WSUS یا پورتهای ۸۵۳۰ و ۸۵۳۱ را غیرفعال نگه دارند.
در پایان، با توجه به بهرهبرداری فعال و در دسترس بودن کدهای PoC، نصب فوری این وصله برای تمامی سازمانهایی که از WSUS استفاده میکنند، ضروری اعلام شده است.
