A Microsoft nemrégiben out-of-band (OOB), azaz rendkívüli biztonsági frissítéseket jelentett be, hogy javítsa a Windows Server Update Service (WSUS) kritikus súlyosságú sebezhetőségét. Ez a sérülékenység távoli kódfuttatást (RCE) tesz lehetővé, és már nyilvánosan elérhető hozzá proof-of-concept exploit kód is, ami különösen sürgőssé teszi a javítás telepítését.
Mi az a WSUS és miért fontos ez a sebezhetőség?
A WSUS egy Microsoft által fejlesztett termék, amely lehetővé teszi az IT rendszergazdák számára, hogy központilag kezeljék és terjesszék a Windows frissítéseket a hálózatukon belüli számítógépekre. Ezáltal hatékonyabbá válik a frissítések kezelése és telepítése, különösen nagyvállalati környezetben.
A mostani sérülékenység, amelyet CVE-2025-59287 azonosítóval követnek nyomon, kizárólag azon Windows szervereket érinti, amelyeknél engedélyezve van a WSUS Server Role. Ez a szerepkör alapértelmezés szerint nincs aktiválva, így nem minden szerver érintett.
A sebezhetőség részletei és kockázatai
A hiba egy távoli kódfuttatási lehetőséget biztosít alacsony komplexitású támadások során, amelyekhez nem szükséges felhasználói interakció. Ez azt jelenti, hogy rosszindulatú támadók jogosultságok nélkül is képesek lehetnek kihasználni a hibát, és SYSTEM jogosultságokkal futtatni káros kódot a célzott rendszereken.
Ez a tulajdonság potenciálisan „férgesedést” (wormable) is lehetővé tesz a WSUS szerverek között, vagyis egy fertőzés gyorsan terjedhet hálózaton belül. A Microsoft hangsúlyozza:
„Azok a Windows szerverek, amelyeknél nincs engedélyezve a WSUS szerver szerepkör, nem érintettek ebben a sebezhetőségben. Ha azonban engedélyezik ezt a szerepkört, akkor a javítás telepítése nélkül sebezhetővé válik a rendszer.”
A támadás technikai háttere
A támadás egy speciálisan megformált esemény elküldésével váltja ki az úgynevezett „unsafe object deserialization” problémát egy régi sorosítási mechanizmusban. Ez az objektumok nem biztonságos visszaalakítását jelenti, amelynek következtében távoli kódfuttatás valósulhat meg.
Microsoft által kiadott frissítések és ajánlások
A Microsoft már elérhetővé tette az érintett Windows Server verziókhoz tartozó biztonsági frissítéseket, és erősen javasolja azok mielőbbi telepítését. Fontos tudni:
- Ez egy kumulatív frissítés, így nem szükséges korábbi javításokat külön telepíteni előtte.
- Ha még nem telepítettük az októberi 2025-ös Windows biztonsági frissítést, akkor ezt az OOB frissítést ajánlott inkább alkalmazni.
- A frissítés telepítését követően újraindítás szükséges.
Elérhető workaround megoldások rendszergazdák számára
Azoknak az adminisztrátoroknak, akik valamilyen okból nem tudják azonnal telepíteni a javításokat, a Microsoft két ideiglenes megoldást javasol:
- WSUS Server Role letiltása: Ezzel megszüntethető a támadási felület.
- Bejövő forgalom blokkolása: A 8530-as és 8531-es portok blokkolása a hoszt tűzfalán szintén hatékonyan megszünteti a támadási vektort.
Fontos azonban megjegyezni, hogy ha letiltjuk vagy blokkoljuk a WSUS-t, akkor a helyi Windows végpontok nem fognak többé frissítéseket kapni erről a szerverről.
Módosítások az WSUS működésében
Egy külön támogatási dokumentumban a Microsoft közölte, hogy ezeknek vagy későbbi frissítéseknek az alkalmazását követően az WSUS már nem fogja megjeleníteni a szinkronizációs hibák részleteit. Ez egy átmeneti intézkedés volt annak érdekében, hogy csökkentsék a CVE-2025-59287 RCE sérülékenység kihasználásának esélyét.
Záró gondolatok
A jelenlegi helyzet rávilágít arra, milyen fontos az IT rendszerek folyamatos karbantartása és gyors reagálásuk biztonsági fenyegetések esetén. A WSUS szerepkörrel rendelkező Windows szerverek üzemeltetőinek haladéktalanul telepíteniük kell az új biztonsági frissítést annak érdekében, hogy megvédjék hálózatukat egy potenciálisan súlyos támadástól.
Ne feledje: A biztonságos működés alapja mindig az időben történő frissítés és megfelelő konfiguráció!