Alertas da CISA sobre exploração ativa da vulnerabilidade WSUS

30/10/2025 mindsecblog Notícias 0

Alertas da CISA sobre exploração ativa da vulnerabilidade WSUS.

A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu um alerta urgente sobre a exploração ativa de uma vulnerabilidade crítica que afeta o Windows Server Update Service (WSUS).

A agência atualizou seu alerta em 29 de outubro de 2025, adicionando informações cruciais sobre como identificar sistemas vulneráveis e detectar ameaças potenciais.

Falha crítica no serviço de atualização do Windows Server

A Microsoft lançou uma atualização de segurança de emergência para abordar o CVE-2025-59287, um execução remota de código vulnerabilidade que afeta o WSUS em várias versões do Windows Server, incluindo 2012, 2016, 2019, 2022 e 2025.

Essa vulnerabilidade surgiu depois que um patch anterior não conseguiu resolver totalmente o problema de segurança, deixando os sistemas expostos a ataques.

A gravidade desta falha não pode ser exagerada. Atacantes não autenticados podem explorar essa vulnerabilidade para obter execução remota de código com privilégios em nível de sistema, dando-lhes controle total sobre os servidores afetados.

A CISA adicionou CVE-2025-59287 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 24 de outubro de 2025, confirmando a exploração ativa na natureza.

CISA insta veementemente as organizações a tomarem medidas imediatas. O primeiro passo envolve identificar servidores vulneráveis verificando se a função de servidor WSUS está habilitada e se as portas TCP 8530 ou TCP 8531 estão abertas.

Os administradores podem verificar a instalação do WSUS executando um comando do PowerShell ou verificando o Painel do Gerenciador de Servidores.

As organizações devem aplicar a atualização de segurança fora de banda lançada em 23 de outubro de 2025 a todos os servidores identificados.

É necessária uma reinicialização do sistema após a instalação para concluir a mitigação. Para organizações que não conseguem implantar a atualização imediatamente, a CISA recomenda desabilitar temporariamente a função do servidor WSUS ou bloquear o tráfego de entrada para as portas padrão do ouvinte WSUS.

Depois de proteger os servidores WSUS, as organizações devem aplicar atualizações a todos os servidores Windows restantes e reiniciá-los para garantir proteção completa. Além da aplicação de patches, a CISA recomenda o monitoramento de sinais de exploração.

As equipes de segurança devem investigar atividades suspeitas e processos filhos gerados com permissões em nível de sistema, especialmente aqueles originados de processos wsusservice.exe ou w3wp.exe. No entanto, estes processos também podem representar atividades legítimas do sistema.

As organizações devem monitorar os aninhados PowerShell processos que usam comandos codificados em base64, que os invasores geralmente usam para ofuscação.

As plataformas de segurança de endpoint devem ser configuradas para alertar sobre comportamento incomum do processo e tentativas de escalonamento de privilégios.

A CISA atualizou suas orientações para incluir recursos da Huntress e da Unidade 42 da Palo Alto Networks.

Essas organizações publicaram análises técnicas detalhadas e orientações de detecção para CVE-2025-59287.

A vulnerabilidade representa um risco significativo para organizações que executam a infraestrutura do Windows Server.

Com a exploração ativa confirmada, o patch atrasado pode resultar em comprometimento completo do sistema e potencial movimento lateral entre redes. As equipes de segurança devem priorizar essa atualização em seus cronogramas de gerenciamento de patches.