Microsoft vá khẩn cấp lỗ hổng CVE-2025-59287 trong WSUS do đang bị khai thác tích cực

Microsoft vừa phát hành một bản cập nhật bảo mật out-of-band để khắc phục lỗ hổng RCE nghiêm trọng CVE-2025-59287 trong Windows Server Update Service. Lỗ hổng này có điểm CVSS 9.8, đã có mã PoC công khai và đang bị tin tặc khai thác tích cực trong các cuộc tấn công thực tế.

Lỗ hổng nghiêm trọng này, được theo dõi với mã CVE-2025-59287, ban đầu đã được Microsoft xử lý trong bản Patch Tuesday tuần trước. Tuy nhiên, trong một thông báo mới, gã khổng lồ công nghệ thừa nhận bản cập nhật ban đầu không giảm thiểu hoàn toàn sự cố, buộc họ phải phát hành lại một bản vá OOB khẩn cấp. Lỗ hổng này chỉ ảnh hưởng đến các máy chủ Windows có bật vai trò Windows Server Update Service Server.

Theo các nhà nghiên cứu, sự cố liên quan đến việc deserialization dữ liệu không đáng tin cậy. Cụ thể, nhà nghiên cứu Batuhan Er của HawkTrace giải thích, lỗ hổng phát sinh từ việc giải tuần tự hóa không an toàn các đối tượng AuthorizationCookie được gửi đến endpoint GetCookie(). Kẻ tấn công không cần xác thực có thể gửi một sự kiện được chế tạo đặc biệt, kích hoạt BinaryFormatter để RCE với đặc quyền SYSTEM. Đáng chú chú ý, Microsoft từ lâu đã khuyến nghị các nhà phát triển ngừng sử dụng BinaryFormatter vì rủi ro bảo mật của nó.

Tình hình trở nên đặc biệt nghiêm trọng khi Trung tâm An ninh mạng Quốc gia Hà Lan xác nhận đã quan sát thấy lỗ hổng bị lạm dụng trong thực tế từ ngày 24 tháng 10 năm 2025. Công ty bảo mật Eye Security, đơn vị thông báo cho NCSC, cho biết họ đã phát hiện cuộc tấn công thả một payload .NET được mã hóa Base64. Payload này sử dụng một request header tên ‘aaaa’ làm nguồn chứa lệnh để thực thi qua cmd.exe, một kỹ thuật nhằm tránh để lại dấu vết trong log.

Công ty bảo mật Huntress cũng báo cáo đã phát hiện các tác nhân đe dọa nhắm mục tiêu vào các cổng WSUS mặc định (8530/TCP và 8531/TCP) từ ngày 23 tháng 10. Các cuộc tấn công đã khiến tiến trình worker của WSUS sinh ra các tiến trình cmd.exe và PowerShell, nhằm mục đích thu thập thông tin mạng và người dùng, sau đó gửi dữ liệu về một URL webhook[.]site do kẻ tấn công kiểm soát.

Microsoft đã phát hành bản vá OOB cho Windows Server 2012, 2012 R2, 2016, 2019, 2022 và 2025, đồng thời khuyến nghị người quản trị cài đặt và khởi động lại hệ thống ngay lập tức. Nếu chưa thể áp dụng bản vá, các biện pháp giảm thiểu tạm thời bao gồm vô hiệu hóa vai trò WSUS Server hoặc chặn lưu lượng truy cập đến cổng 8530 và 8531 trên tường lửa. Do tính chất nghiêm trọng và việc đang bị khai thác, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm lỗ hổng này vào danh mục KEV (Known Exploited Vulnerabilities), yêu cầu các cơ quan liên bang phải vá trước ngày 14 tháng 11 năm 2025. Chi tiết kỹ thuật có tại trang CVE của Microsoft.