摘要：对CVE-2025-59287漏洞的关注日益加剧，该漏洞存在于Windows Server Update Services (WSUS)中，允许未经身份验证的攻击者执行远程代码。尽管微软尚未更新其指南承认该漏洞持续被利用，但美国网络安全和基础设施安全局（CIS

对CVE-2025-59287漏洞的关注日益加剧，该漏洞存在于Windows Server Update Services (WSUS)中，允许未经身份验证的攻击者执行远程代码。尽管微软尚未更新其指南承认该漏洞持续被利用，但美国网络安全和基础设施安全局（CISA）已将其列入已知被利用漏洞目录。谷歌威胁情报组正在调查攻击者UNC6512对该漏洞的利用情况，发现多个组织受到影响，并有数据外泄风险。CVE-2025-59287影响2012至2025年间的Windows Server版本，攻击者通过不安全反序列化利用该漏洞，进行侦察并外泄信息。尽管目前暴露的WSUS服务器数量有限，但潜在后果严重，专家警告微软补丁可能不足以保护组织，需加强防范和补救措施。

威胁情报团队日益对Windows Server Update Services (WSUS) 中被识别为CVE-2025-59287的一个严重漏洞发出警报。这个远程代码执行缺陷目前正在被积极利用，距离微软发布应急补丁仅几天。美国网络安全和基础设施安全局（CISA）也已将此漏洞添加到其已知被利用漏洞目录中，强调了其重要性。尽管如此，微软并未更新其指南以承认多个可信来源报告的持续利用情况，而是将CVE-2025-59287归类为未公开或未被利用。

谷歌威胁情报组（GTIG）表示，他们正在积极调查一个新识别的威胁行为者UNC6512对CVE-2025-59287的利用，涉及多个受害组织。在他们的初始访问后，攻击者被观察到执行命令以收集受损系统及其环境的侦察信息。此外，还有报告显示，从受影响的主机中发生了数据外泄，这引发了对该漏洞对组织潜在影响的担忧。

在技术细节方面，CVE-2025-59287影响从2012到2025的Windows Server版本，源于对不可信数据的不安全反序列化。这个缺陷允许未经身份验证的攻击者在易受攻击的系统上执行任意代码。需要注意的是，未启用WSUS角色的服务器不受影响。在仅过去一周内，已发生约100,000次利用该漏洞的尝试，突显了组织实施必要补丁和补救措施的紧迫性。

Palo Alto Networks的Unit 42团队报告称，对其客户的影响有限，强调尽管WSUS默认情况下不应通过互联网访问，但暴露可能导致下游实体的灾难性后果。攻击者专注于获得初始访问权限并在内部网络中进行侦察，目标是公开暴露的WSUS实例，使用默认的TCP端口8530（HTTP）和8531（HTTPS）。一旦获得访问权限，他们执行PowerShell命令以收集有关内部网络的信息并将其外泄到远程服务器。

Unit 42的研究表明，攻击者尚未与特定团体相关联，但利用这个未经身份验证的漏洞的容易程度令人担忧。即使当前暴露的WSUS服务器数量似乎有限，下游影响的潜力依然显著。专家警告，微软提供的初始补丁不足，补丁的存在可能误导组织认为它们已受到保护，实际上并非如此。对微软来说，因无效补丁和可能引入新漏洞的补丁承担责任至关重要。

来源：老孙科技前沿