عودة للخلف

مقال

أمن سيبراني

25‏/10‏/2025

CVE-2025-59287: ثغره حرجة في سيرفر ويندوز لخدمات التحديث (WSUS)

ثغرة CVE-2025-59287 تعتبر حرجة في خدمة تحديثات ويندوز (WSUS). بهالمقال نشرح بشكل بسيط وش الثغرة، تأثيرها المحتمل، وكيف تقدر تحمي نظامك، مع أهم مؤشرات الاختراق (IoCs).

CVE-2025-59287: ثغره حرجة في سيرفر ويندوز لخدمات التحديث (WSUS)
CVE-2025-59287: ثغره حرجة في سيرفر ويندوز لخدمات التحديث (WSUS)
CVE-2025-59287: ثغره حرجة في سيرفر ويندوز لخدمات التحديث (WSUS)

الملخص

بتاريخ 23 اكتوبر، أصدرت مايكروسوفت تحديث لثغرة تنفيذ أوامر عن بعد حرجة في Windows Server Update Services (WSUS).

يستخدم مسؤولي الـIT هذي الخدمة لتوزيع تحديثات مايكروسوفت بشكل مركزي داخل الشبكات.

CVE-2025-59287 هي ثغرة حرجة في Windows Server Update Services (WSUS) تسمح للمهاجمين بتنفيذ أوامر عن بعد دون الحاجة لتسجيل الدخول. تقييم الثغرة 9.8.

لاستغلال الثغرة، يستهدف المهاجم منافذ الخدمة على TCP/8530 و 8531/TCP لارسال طلبات POST لخدمة التحديث, والي بدورها بتنفذ الامر بعد ما تفكه عن طريق الـDeserialization.

تسلسل تنفيذ الامر يكون عن طريق خدمات التحديث wsusservice.exe أو w3wp.exe الي بتشغل cmd.exe أو powershell.exe.

ايش هي CVE-2025-59287؟

هي ثغرة تنفيذ اوامر عن بعد في خدمة التحديث (WSUS) بسبب الـDeserialization الغير آمن للطلب.

يتم ارسال الطلب POST لخدمة التحديث. الطلب يحتوي على كائن AuthorizationCookie مشفر باستخدام AES-128-CBC. بعد فك التشفير يتم عمل Deserialization للكائن عبر BinaryFormatter دون التأكد من نوع الكائن.

النتيجة هي تنفيذ اوامر عن بعد بصلاحية SYSTEM.

التوصيات

تطبيق التحديث

تطبيق التحديث الأمني الصادر من مايكروسوفت (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287)

عزل الوصول لسيرفر WSUS

التأكد من أن الوصول لسيرفر WSUS مقصور فقط على اجهزه الادارة وسيرفرات التحديث الأخرى الي تحتاج تتواصل مع WSUS. عدى ذلك، يجب حظر الوصول الى منافذ الخدمة TCP/8530 و 8531/TCP

يجب حظر الوصول بشكل عام من خارج الشبكة.

مؤشرات الاستغلال

  • مراجعة السجل C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log:

  • مراجعة السجل C:\inetpub\logs\LogFiles\W3SVC*\u_ex*.log:

POST /ReportingWebService/ReportingWebService.asmx (get_server_id)

POST /SimpleAuthWebService/SimpleAuth.asmx (get_auth_cookie)

POST /ClientWebService/Client.asmx (get_reporting_cookie)

POST /ReportingWebService/ReportingWebService.asmx (send_malicious_event)

POST /ApiRemoting30/WebService.asmx

POST /ReportingWebService/ReportingWebService.asmx - 8530 - <IPv4>

  • مراجعة سجلات ويندوز للسيرفر أو سجلات الـSIEM في حال توفرها:

    • عملية wsusservice.exe تقوم بتشغيل cmd.exe أو powershell.exe(بشكل عام wsusservice.exe لا تقوم بتشغيل أي عملية فرعية)

    • عملية w3wp.exe تقوم بتشغيل cmd.exe أو powershell.exe

المصادر

جاهز تأمن وتطور الـIT في منشأتك؟

احجز استشارة مجانية معنا واكتشف كيف ممكن نطور ونأمن التقنية في منشأتك

احجز استشارة مجانية

احجز استشارة مجانية

استشارة مجانية

استشارة مجانية