🚨 This week’s CrowdSec Threat Alert article highlights CVE-2025-59287, a critical WSUS RCE being actively probed and exploited in real-world environments.
Dive into the data, attack patterns, and mitigation steps 👉 https://www.crowdsec.net/vulntracking-report/cve-2025-59287
Dwie groźne luki w Windows aktywnie wykorzystywane. Jedna to 8-letni zero-day bez łatki
Badacze bezpieczeństwa biją na alarm w sprawie dwóch poważnych luk w systemie Windows, które są obecnie aktywnie i na szeroką skalę wykorzystywane w atakach.
Jak donosi serwis ArsTechnica, jedna z luk to krytyczna podatność, którą Microsoft niedawno próbował nieudolnie załatać. Druga to zero-day, który był wykorzystywany przez grupy hakerskie powiązane z rządami od co najmniej… 2017 roku i do dziś nie ma na to stosownej poprawki!
Groźniejsza i bardziej niepokojąca jest podatność zero-day, śledzona obecnie jako CVE-2025-9491. To błąd w obsłudze formatu skrótów Windows (.lnk). Luka została publicznie ujawniona w marcu 2025 roku przez Trend Micro, które odkryło, że była ona aktywnie wykorzystywana przez co najmniej 11 różnych grup hakerskich (APT) od 2017 roku do instalowania trojanów i oprogramowania szpiegującego. Mimo że od odkrycia minęło siedem miesięcy, Microsoft wciąż nie wydał na nią oficjalnej łaty bezpieczeństwa.
W ostatnich dniach firma Arctic Wolf zgłosiła nową, zmasowaną kampanię wykorzystującą właśnie tę lukę. Atakujący, prawdopodobnie powiązani z Chinami, używają jej do infekowania celów w Europie popularnym trojanem zdalnego dostępu (RAT) o nazwie PlugX. Z powodu braku łatki, jedyną skuteczną metodą obrony jest ręczne blokowanie lub ograniczanie przez administratorów użycia plików .lnk z niezaufanych źródeł.
Druga aktywnie wykorzystywana podatność to CVE-2025-59287, krytyczna (9.8/10) luka w usłudze Windows Server Update Services (WSUS), czyli narzędziu, którego administratorzy używają do zarządzania aktualizacjami w firmach. Błąd ten umożliwia zdalne wykonanie kodu (RCE) i jest potencjalnie zdolny do samodzielnego rozprzestrzeniania się w sieci.
Problem w tym, że Microsoft próbował załatać tę dziurę podczas październikowego „Patch Tuesday”, ale zrobił to nieskutecznie. Publicznie dostępny kod (PoC) szybko udowodnił, że poprawka jest niekompletna. Hakerzy natychmiast to wykorzystali. Firmy bezpieczeństwa, jak Huntress i Sophos, potwierdziły, że obserwują masowe ataki na serwery WSUS od 23-24 października. Microsoft był zmuszony do wydania drugiej, awaryjnej łatki poza standardowym harmonogramem, aby ostatecznie zamknąć dziurę.
Administratorzy systemów Windows powinni natychmiast zweryfikować, czy ich serwery WSUS mają zainstalowaną drugą, poprawną aktualizację. W przypadku luki zero-day w plikach .lnk, zarówno administratorzy, jak i zwykli użytkownicy, muszą zachować szczególną ostrożność i czekać na ruch ze strony Microsoftu, który do tej pory nie podał daty wydania poprawki.
Koniec z technicznym bełkotem. Aktualizacje Windows 11 będą bardziej zrozumiałe
#0Day #ArsTechnica #CVE202559287 #CVE20259491 #cyberbezpieczeństwo #lukaWZabezpieczeniach #Microsoft #news #PlugX #TrendMicro #windows #WSUS #zeroDay
Microsoft's latest WSUS patch accidentally derailed Windows Server hotpatching – forcing IT teams to scramble for restart fixes. How disruptive is this unexpected downtime? Read on for the full twist.
#wsus
#windowsserver2025
#hotpatching
#microsoftpatch
#cve202559287
Этот WSUS убьёт вашу корпоративную сеть. Разбор CVE-2025-59287
Приветствую! В середине октября вышла новая критическая уязвимость для Windows серверов с ролью WSUS (Windows Server Update Services) - CVE-2025-59287. Меня по-прежнему зовут Ян, я - старший специалист по пентестам в кибербез-компании Xilant . В этом тексте мы разберём не только как работает эта уязвимость, но и посмотрим на существующие эксплоиты. А также расскажем как защититься.
https://habr.com/ru/companies/technokratos/articles/961706/
#wsus #windows_server #CVE #cve202559287 #уязвимость #эксплоит #active_directory
One unpatched WSUS server could be a hacker’s golden ticket to SYSTEM-level control. With default ports exposed, this vulnerability is a real wake-up call—are you sure your defenses can handle the threat?
#wsus
#cve202559287
#vulnerabilitymanagement
#patchmanagement
#cybersecurity
#windowsserver
#cisa
#infosec
#zeroday
Wild: “The vulnerability allows an unauthenticated attacker to achieve remote code execution with SYSTEM privileges by sending malicious encrypted cookies to the GetCookie() endpoint.”
Give a cookie to the bouncer and they’ll do what you want and let you in.
https://infosec.exchange/@DarkWebInformer/115430134056007798
🚨CVE-2025-59287: Deserialization of untrusted data in Windows Server Update Service allows an unauthorized attacker to execute code over a network. CVSS: 9.8 Microsoft releases out-of-band (OOB) urgent fix for actively exploited WSUS vulnerability: https://www.helpnetsecurity.com/2025/10/24/wsus-vulnerability-cve-2025-59287-exploited/
Overlooked WSUS configurations could be your network's Achilles' heel—hackers can seize SYSTEM-level control with zero user input. Microsoft's rapid patch is out. Is your server safe?
#wsus
#cve202559287
#windowsserver
#remotecodeexecution
#cybersecurity
#patchmanagement
#networksecurity
#microsoftsecurity
#zeroday
CrowdSec
Agnieszka Serafinowicz
The DefendOps Diaries
Habr
Walk News