WSUSは、「Windows Server Update Services」の略称です。
Microsoftが提供する更新プログラムを一元管理・配信するためのサーバ機能です。WSUSサーバがインターネットから更新プログラムをダウンロードし、社内の複数のWindows端末に配布することで、インターネット回線の負荷軽減、更新適用タイミングの制御、セキュリティ管理の効率化を実現できます。
これを設定しこの仕組みによるシステム更新を実施している組織は多くあります。
長くWSUSは提供されてきていますが、このWSUSは2024年9月に新機能開発の停止が発表されました。
WSUSは新機能開発が終了してもサポートとしては2034年までは実施される見通しですのですぐに利用を停止する必要があるわけではありませんが、そんなことは脅威アクターにとっては重要ではありません。
広く利用されている複雑なシステムがあれば、そこは脅威アクターの狙う場所となります。
- CVE‑2025‑59287
これはWSUSで修正された脆弱性のCVE番号です。
内容はリモートコード実行が可能となってしまうものです。
この脆弱性は、ユーザの操作を必要としない低複雑性の攻撃でリモートから悪用される可能性があり、権限を持たない脅威アクターが脆弱なシステムを標的にし、SYSTEM権限で悪意のあるコードを実行することが可能になります。
このため、WSUSサーバ間でワーム化される可能性があります。
この脆弱性の情報は2025年10月14日に公開されました。
そして2025年10月24日にはすでに実際の脅威活動で悪用されてしまっていることが確認されました。
悪用される可能性があるというだけでなく、実際に悪用されてしまっていることが明らかになったのです。
脆弱性の対象範囲は各種Windows Serverとなっています。
パッチはすでに提供されていますので、直ちに適用を完了しましょう。
そして、WSUSの動作しているサーバがInternetに公開されていない状態となっていることを確認しましょう。
いろいろな仕組みがありますが、その仕組み毎に想定された利用構成というものが存在します。
WSUSは通常はInternetに公開することがないように構成するものです。
Windows ServerのWSUSに限った話ではありませんが、非推奨の構成で利用することの危険性を認識し、再度自組織のシステムを見直してみることがよさそうです。
WSUS Deserialization Exploit in the Wild (CVE‑2025‑59287)
https://research.eye.security/wsus-deserialization-exploit-in-the-wild-cve-2025-59287/
| この記事をシェア |
|
|---|
表紙.png)
