Serviço WSUS dos servidores Windows continuam sob ataque

Analistas de ameaças cibernéticas estão detectando a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Services (WSUS), identificada como CVE-2025-59287 . Poucos dias após a Microsoft lançar uma atualização de emergência e adicionar o problema ao catálogo de Detecção de Erros de Chave (KEV) da CISA, os pesquisadores já estão observando ataques em larga escala utilizando-o.

Apesar dos relatos de ataques reais, a Microsoft ainda não alterou o status da CVE-2025-59287, que ainda lista a vulnerabilidade como inexplorável. A empresa apenas estima a probabilidade de ataques como “mais provável”, embora dados de diversas fontes indiquem que os ataques já estão a todo vapor.

O Google Threat Intelligence Group (GTIG) confirmou ter detectado uma campanha explorando essa falha, realizada por um novo agente identificado como UNC6512. Após obter acesso, os invasores executam comandos para realizar o reconhecimento do sistema e da infraestrutura e, em seguida, exfiltram dados dos servidores infectados.

A vulnerabilidade afeta o Windows Server 2012–2025 e é causada pela desserialização insegura de dados não confiáveis, permitindo a execução arbitrária de código sem autenticação. Servidores sem a função WSUS habilitada permanecem inalterados.

O primeiro patch foi lançado em 8 de outubro como parte do ciclo de atualização padrão, mas se mostrou incompleto. Uma semana depois, a Microsoft lançou uma atualização não programada, mas uma onda de ataques começou logo em seguida. De acordo com a Trend Micro, aproximadamente 100.000 tentativas de exploração foram registradas nos últimos sete dias. A Zero Day Initiative relatou que quase 500.000 servidores com o WSUS habilitado permanecem online, e instâncias vulneráveis ​​estão sendo atacadas indiscriminadamente, independentemente do setor ou região.

De acordo com analistas da Unidade 42, os ataques têm como alvo servidores WSUS de acesso público usando as portas padrão 8530 (HTTP) e 8531 (HTTPS). Após uma intrusão bem-sucedida, os invasores usam o PowerShell para coletar informações de rede — incluindo os comandos whoami, net user /domain e ipconfig /all — e transmitir os dados coletados para um servidor de terceiros via Invoke-WebRequest ou curl.exe.

A Unidade 42 observa que os ataques atualmente se limitam ao reconhecimento, mas suas consequências podem ser catastróficas: um WSUS comprometido é capaz de distribuir malware por meio de atualizações para toda a infraestrutura corporativa. Além disso, a complexidade da exploração é mínima, e o exploit de prova de conceito está disponível desde 21 de outubro, tornando a vulnerabilidade extremamente atraente para ataques em massa.