Kritisk WSUS-sårbarhed udnyttet i praksis
En ny kritisk sårbarhed i Windows Server Update Services (WSUS) er blevet aktivt udnyttet blot timer efter Microsofts nødopdatering.
Det skriver Security Week og en række andre medier.
Sårbarheden, EUVD-2025-34268 / CVE-2025-59287, giver mulighed for fjernudførelse af kode uden autentificering – og et Proof-of-Concept (PoC) er allerede offentligt tilgængeligt. CVSS-scoren er 9,8, mens EPSS-scoren ligger på 9,2 pct.
Udnyttelse uden behov for autentificering
Oplysningerne om udnyttelserne kommer efter at Microsoft den 23. oktober udsendte en nødopdatering til en alvorlig sårbarhed i WSUS, som berører Windows Server-versionerne 2012, 2016, 2019, 2022 og 2025. Sårbarheden blev oprindeligt annonceret på Patch Tuesday, men opdateringen blev fremskyndet, da en PoC blev offentliggjort af sikkerhedsfirmaet HawkTrace den 18. oktober.
WSUS er en central komponent i Windows Server, som anvendes af IT-administratorer til at distribuere opdateringer og patches i netværket. Den pågældende sårbarhed udnytter en usikker objekt-deserialisering i en ældre serialiseringsmekanisme, hvilket gør det muligt for en angriber at sende en specialfremstillet event og opnå systemrettigheder – uden nogen form for autentificering.
Aktiv udnyttelse i praksis
Sikkerhedsfirmaet Eye Security har observeret aktiv udnyttelse af sårbarheden in-the-wild, og rapporterer at omkring 2.500 WSUS-instanser globalt stadig er eksponerede. Det hollandske nationale cybersikkerhedscenter har ligeledes bekræftet aktiv udnyttelse.
Microsoft har klassificeret sårbarheden som "exploitation more likely", men har endnu ikke officielt bekræftet aktiv udnyttelse – på trods af uafhængige rapporter.
WSUS Server Role er ikke aktiveret som standard, og deaktivering af denne rolle kan fungere som en midlertidig afhjælpning, indtil den officielle patch er implementeret. Det anbefales dog kraftigt at installere den nyeste opdatering hurtigst muligt.
Det anbefales at installere Microsofts nødopdatering med det samme.
Det kan overvejes midlertidigt at deaktivere WSUS Server Role, hvis patching ikke er muligt. Derudover kan netværket monitoreres for tegn på udnyttelse.
Læs mere
- https://www.securityweek.com/critical-windows-server-wsus-vulnerability-exploited-in-the-wild/
- https://www.helpnetsecurity.com/2025/10/24/wsus-vulnerability-cve-2025-59287-exploited/
- https://www.darkreading.com/vulnerabilities-threats/microsoft-emergency-patch-windows-server-bug
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287