CSIRT Toscana Microsoft: rilevato sfruttamento in rete della CVE-2025-59287 (AL01/251025/CSIRT-ITA)
Data:
30 Ottobre 2025
Impatto Sistemico
Critico (79.23)
Sintesi
Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-59287 con gravità “critica” – già sanata dal vendor – relativa a Windows Server Update Service (WSUS), servizio di Microsoft che consente agli amministratori di sistema di gestire centralmente la distribuzione degli aggiornamenti software per i prodotti Microsoft all’interno di una rete aziendale. Tale vulnerabilità potrebbe consentire a un utente malevolo non autenticato di eseguire codice arbitrario remoto sui sistemi target.
Tipologia
Remote Code Execution
Descrizione
È stato recentemente rilevato lo sfruttamento attivo della vulnerabilità CVE-2025-59287 – già sanata dal vendor – relativa a Windows Server Update Service (WSUS).
Tale vulnerabilità – di tipo “Remote Code Execution” e con score CVSS v3.1 pari a 9.8 – è dovuta alle modalità di deserializzazione dei dati da parte del servizio WSUS. In dettaglio, un utente malevolo remoto non autenticato potrebbe inviare ad un server WSUS, esposto sulle porte 8530/8531, un evento [1] opportunamente manipolato al fine di innescare una deserializzazione non sicura degli oggetti ed ottenere l’esecuzione di codice arbitrario con privilegi di sistema.
Si precisa inoltre che Microsoft ha rilasciato un aggiornamento “ out-of-band” il 23 ottobre 2025, che sostituisce la patch iniziale del Patch Tuesday (non completamente efficace) e che un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.
[1] messaggi strutturati che rappresentano azioni, notifiche o richieste inviate al server da client o da altri componenti del sistema.
Prodotti e/o versioni affette
Windows Server 2012, 2016, 2019, 2022, 2025 (inclusi Server Core) con WSUS attivo
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di installare l’aggiornamento “ out-of-band” del 23 ottobre 2025. Il vendor ha rilasciato inoltre i seguenti workaround per mitigare la vulnerabilità in attesa dell’installazione della patch:
- disabilitare il ruolo WSUS sul server (nota: i client non riceveranno aggiornamenti finché il servizio rimane disattivato);
- bloccare il traffico in entrata verso le porte 8530 e 8531 sul firewall host (anziché bloccare solo il firewall di rete o perimetrale) per rendere WSUS non operativo.
Riferimenti
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
- https://www.cisa.gov/news-events/alerts/2025/10/24/microsoft-releases-out-band-security-update-mitigate-windows-server-update-service-vulnerability-cve
CVE
| CVE-ID |
|---|
| CVE-2025-59287 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 25-10-2025 | 25/10/2025 |
| 1.1 | Il CISA, il 29 Ottobre 2025, ha rilasciato ulteriori dettagli, disponibili nella sezione Riferimenti, circa le azioni di mitigazione da applicare riguardo alla vulnerabilità CVE-2025-59287 relativa a WSUS (Windows Server Update Services). | 30/10/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
30 Ottobre 2025, 09:30