در اواخر اکتبر ۲۰۲۵، یک آسیب‌پذیری حیاتی در Windows Server Update Services (WSUS)  شناسایی شد که به مهاجمان اجازه می‌دهد بدون احراز هویت (unauthenticated)، کد مخرب خود را روی سرور هدف اجرا کنند. این نقص که با شناسه CVE-2025-59287  ثبت شده، توسط مایکروسافت تأیید و بلافاصله در فهرست Known Exploited Vulnerabilities  سازمان CISA قرار گرفت.

به زبان ساده، اگر سازمان شما از WSUS برای مدیریت آپدیت‌های ویندوز استفاده می‌کند و هنوز پچ اخیر را نصب نکرده، سرور شما می‌تواند به دروازه‌ای برای نفوذ گسترده در شبکه تبدیل شود.

جزئیات فنی آسیب‌پذیری

WSUS  بخشی از سیستم به‌روزرسانی سازمانی ویندوز است که از طریق پورت‌های 8530 (HTTP)  و 8531 (HTTPS) با کلاینت‌ها ارتباط دارد.

در این آسیب‌پذیری، مشکل از deserialization  ناامن در تابع GetCookie() ناشی می‌شود. مهاجم می‌تواند یک درخواست SOAP یا HTTPCraft شده به این endpoint ارسال کند و داده‌ای حاوی payload  مخرب .NET در قالب Base64 تزریق کند. سپس WSUS  داده را deserialize کرده و کد مهاجم را با امتیازات SYSTEM  اجرا می‌کند.

این یعنی مهاجم:

✔️ نیازی به حساب کاربری ندارد،

✔️ می‌تواند از راه دور (Remote) و از طریق اینترنت یا LAN حمله کند،

✔️ و کنترل کامل سیستم را به دست گیرد.

سطح خطر آسیب پذیری

✔️ CVSS Score :  9.8 (Critical)

✔️ بردار حمله: شبکه

✔️ نیاز به احراز هویت: ندارد

✔️ اثرات: اجرای کد، نصب بدافزار، lateral movement، آلوده‌سازی آپدیت‌های کلاینت‌ها

علائم و شاخص‌های حمله (IOCs)

در بررسی لاگ‌ها، نشانه‌های زیر ممکن است حاکی از سوءاستفاده باشند:

✔️ درخواست‌های HTTP شامل مسیر /ClientWebService/client.asmx با پارامترهای غیرمعمول

✔️ وجود رشته‌های Base64 طولانی در بدنه درخواست

✔️ رخدادهای غیرمنتظره در Event Viewer مانند:

• Service Control Manager (7045)  —  نصب سرویس جدید مشکوک
• Windows Update Service logs با پیام‌های خطا یا ارتباطات غیرمنتظره

✔️ ارتباطات خروجی از WSUS به IPهای ناشناخته یا خارجی

نحوه تشخیص در SIEM

نمونه Query برای Splunk :

index=win_logs (EventCode=7045 OR EventCode=4688)

| search "wsus" OR "w3wp.exe"

| stats count by host, Image, CommandLine, Account_Name

هشدارهای قابل تعریف:

• اجرای فایل‌های ناشناخته توسط w3wp.exe
• ارتباطات HTTP/HTTPS غیرعادی از سرور WSUS
• تلاش برای دسترسی مکرر به مسیر /ClientWebService/

گام‌های فوری برای کاهش خطر

1. 🔄  نصب پچ امنیتی (Out-of-band update) :
   آخرین به‌روزرسانی مایکروسافت را نصب کرده و سیستم را ریبوت کنید.
   • لینک رسمی مایکروسافت: Microsoft Security Update Guide – CVE-2025-59287
2. 🧱  مسدودسازی پورت‌ها:
   تا زمان پچ کامل، ترافیک ورودی به پورت‌های 8530 و 8531 را از خارج شبکه مسدود کنید.
3. 🚫 غیرفعال‌سازی موقت نقش WSUS :
   اگر پچ فوری ممکن نیست، سرویس WSUS را غیرفعال کنید تا از بهره‌برداری جلوگیری شود.
4. 🔍  بررسی لاگ‌ها:
   • Application و Security logs
   • IIS logs در مسیر C:\inetpub\logs\LogFiles
     هر گونه درخواست مشکوک یا فایل جدید را بررسی و در صورت نیاز به sandbox ارسال کنید.
5. 🧰  شناسایی همه سرورهای WSUS فعال:
   از PowerShell برای یافتن تمام سرورهایی که این نقش را دارند استفاده کنید:

Get-WindowsFeature -Name *UpdateServices*

6. 🧼  بازسازی در صورت نفوذ:
   اگر شواهدی از compromise وجود دارد، بازسازی (Reimage) سرور از نسخه‌ی امن و جدا کردن آن از دامنه ضروری است.

اقدامات تکمیلی (پس از patch)

✔️ بررسی کامل اعتماد به گواهی‌های WSUS و اطمینان از عدم آلودگی زنجیره آپدیت.

✔️ جداسازی (Segmentation) شبکه مدیریتی WSUS از بقیه بخش‌ها.

✔️ مانیتورینگ مداوم رفتار سرویس w3wp.exe و UpdateServices.

✔️ افزودن rule به IDS/IPS برای شناسایی درخواست‌های خاص مربوط به GetCookie().

هشدار نهایی

انتشار عمومی PoC و افزایش حملات نشان می‌دهد مهاجمان به دنبال هدف قرار دادن سازمان‌هایی هستند که به‌روزرسانی را به تأخیر می‌اندازند. از آنجا که WSUS معمولاً با دسترسی بالا به سرورهای دامنه و ایستگاه‌های کاری متصل است، بهره‌برداری از این ضعف می‌تواند به آلودگی زنجیره تأمین داخلی Supply Chain Attackمنجر شود.در یک جمله: اگر WSUS دارید و هنوز patch نکرده‌اید، همین امروز اقدام کنید.