Microsoft a publié une nouvelle mise à jour hors bande pour patcher une faille de sécurité critique découverte dans WSUS : CVE-2025-59287. Il est urgent d'appliquer le correctif puisque cette vulnérabilité est déjà exploitée par les cybercriminels. Faisons le point.

CVE-2025-59287 : une faille critique dans WSUS

La faille de sécurité CVE-2025-59287, associée à un score CVSS de 9.8 sur 10, permet une exécution de code à distance (RCE) sur les serveurs Windows disposant du rôle WSUS. Je rappelle que ce rôle n'est pas activé par défaut, mais il est activé sur un ou quelques serveurs d'une entreprise pour gérer et distribuer les mises à jour aux postes de travail et aux serveurs d'une entreprise.

Dans le cas présent, un attaquant non authentifié peut exploiter cette vulnérabilité pour exécuter du code à distance sur un serveur, avec des droits SYSTEM et sans interaction d'un utilisateur. L'exploit pourrait, théoriquement, être wormable entre serveurs WSUS.

Microsoft précise que cette vulnérabilité affecte tous les serveurs où le rôle WSUS a été installé, de Windows Server 2012 à Windows Server 2025.

Une mise à jour hors bande en guise de patch de sécurité

"Afin d'apporter une réponse complète au problème CVE-2025-59287, Microsoft a publié une mise à jour de sécurité hors bande.", peut-on lire sur le site de Microsoft. Il en résulte une nouvelle mise à jour hors bande, publiée le 23 octobre 2025, pour l'ensemble des versions affectées par cette vulnérabilité :

Windows Server 2025 : KB5070881

: KB5070881 Windows Server, version 23H2 : KB5070879

: KB5070879 Windows Server 2022 : KB5070884

: KB5070884 Windows Server 2019 : KB5070883

: KB5070883 Windows Server 2016 : KB5070882

: KB5070882 Windows Server 2012 R2 : KB5070886

: KB5070886 Windows Server 2012 : KB5070887

Une autre façon de se protéger, c'est de limiter l'exposition du serveur WSUS. Il est fortement déconseillé d'exposer le serveur WSUS sur Internet : dans le cas présent, les administrateurs qui ont fait ce choix pourraient le payer cher.

CVE-2025-59287 : exploitation en cours

Tout d'abord, avant de parler des attaques, sachez qu'un exploit PoC est disponible depuis quelques jours. D'après les chercheurs en sécurité de chez Huntress, des attaques visant des instances WSUS exposées sur leurs ports par défaut 8530/TCP et 8531/TCP ont été observées dès le jeudi 23 octobre 2025.

Dans leur rapport, nous pouvons lire : "Nous nous attendons à ce que l'exploitation de CVE-2025-59287 soit limitée ; WSUS n'expose pas souvent les ports 8530 et 8531. Parmi notre base de partenaires, nous avons observé ~25 hôtes susceptibles d'être infectés par le CVE-2025-59287."

À l'échelle mondiale, le nombre de serveurs vulnérables pourrait être plus important et de l'ordre de 2 500 instances WSUS d'après Eye Security.

"Nos données télémétriques indiquent des tentatives de balayage et d'exploitation de 𝟮𝟬𝟳.𝟭𝟴𝟬.𝟮𝟱𝟰[. ]𝟮𝟰𝟮, et nos analyses révèlent qu'environ 2 500 serveurs WSUS sont toujours exposés dans le monde, dont une centaine aux Pays-Bas et 250 en Allemagne. Nous avons partagé cette IP avec nos partenaires ce matin.", peut-on lire sur ce post.

Une carte publiée par The ShadowServer permet de voir le nombre de serveurs WSUS exposés, par pays. Il y en aurait au moins 150 en France, 8 en Belgique, 22 en Suisse et 74 au Canada. Certains serveurs sont peut-être déjà patchés, l'analyse n'en tient pas compte.

Lors de ces attaques, les cybercriminels ont exécuté une commande PowerShell destinée à effectuer la reconnaissance du domaine Windows interne de l'entreprise. Les résultats, remontés vers un webhook, comprenaient notamment les sorties de ces commandes classiques :

whoami

net user /domain

ipconfig /all

Il est fortement conseillé d'appliquer ce correctif de sécurité dès que possible, même si le serveur WSUS n'est pas exposé directement. L'attaque peut aussi venir de l'intérieur...