Patch urgente em Windows Servers: ataques em andamento ao serviço WSUS

Em 23 de outubro de 2025, a Microsoft lançou uma atualização de segurança de emergência para corrigir uma vulnerabilidade crítica identificada como CVE-2025-59287(CVSS de 9.8). A falha decorre da desserialização de dados não confiáveis ​​no Windows Server Update Services (WSUS), permitindo que agentes de ameaça remotos e não autenticados executem código remotamente. De acordo com a Microsoft, apenas servidores Windows com a Função de Servidor WSUS habilitada são afetados – e esse recurso não é habilitado por default. O Shodan indica a existência de 82 servidores com essas características no Brasil e 2.626 no mundo.

Embora o CVE-2025-59287 tenha sido corrigido originalmente na atualização Patch Tuesday de outubro, a Microsoft indicou que o patch inicial não era abrangente e que esta nova atualização deve ser aplicada para mitigar completamente a vulnerabilidade. Agentes de ameaças começaram a explorar essa vulnerabilidade, que foi adicionada ao Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA logo após o lançamento do novo patch. Além disso, detalhes técnicos e uma exploração de prova de conceito para o CVE-2025-59287 já estão disponíveis.

Atividade de ameaça direcionada aos servidores WSUS

Segundo a empresa de segurança Arctic Wolf, foram observados ataques direcionados aos servidores WSUS nas portas TCP 8530 e 8531, mas a empresa observa que não pode “confirmar totalmente se esta campanha está diretamente relacionada ao CVE-2025-59287. Em cada incidente, um script malicioso do PowerShell foi executado em um processo cmd gerado pelo processo de trabalho do IIS, w3wp.exeou wsusservice.exe. O comando injetado executa net user /domaine ipconfig /allredireciona a saída para um domínio controlado por um agente de ameaça”.

Embora o exemplo nem sempre permita a execução arbitrária de comandos, sua mera aparição desencadeou um aumento na atividade. Na manhã de 24 de outubro, representantes da empresa holandesa Eye Security relataram as primeiras varreduras e tentativas de exploração , e um dos clientes da organização foi atacado usando uma variante de exploração diferente. A empresa americana Huntress também registrou ataques contra servidores WSUS acessíveis pela internet através das portas padrão.