Microsoft heeft donderdag out-of-band beveiligingsupdates uitgebracht om een kritieke kwetsbaarheid in de Windows Server Update Service (WSUS) te patchen met een proof-of-concept (Poc)-exploit die openbaar beschikbaar is en in het wild actief wordt uitgebuit.
De kwetsbaarheid in kwestie is CVE-2025-59287 (CVSS-score: 9,8), een fout bij het uitvoeren van externe code in WSUS die oorspronkelijk door de technologiegigant werd verholpen als onderdeel van de Patch Tuesday-update die vorige week werd gepubliceerd.
Drie beveiligingsonderzoekers, MEOW, f7d8c52bec79e42795cf15888b85cbad, en Markus Wulftange van CODE WHITE GmbH, zijn erkend voor het ontdekken en rapporteren van de bug.
De tekortkoming betreft een geval van deserialisatie van niet-vertrouwde gegevens in WSUS, waardoor een ongeautoriseerde aanvaller code via een netwerk kan uitvoeren. Het is vermeldenswaard dat het beveiligingslek geen gevolgen heeft voor Windows-servers waarop de WSUS-serverrol niet is ingeschakeld.
In een hypothetisch aanvalsscenario zou een niet-geauthenticeerde aanvaller op afstand een vervaardigde gebeurtenis kunnen verzenden die een onveilige deserialisatie van objecten activeert in een ‘verouderd serialisatiemechanisme’, wat leidt tot uitvoering van code op afstand.
Volgens HawkTrace-beveiligingsonderzoeker Batuhan Er komt het probleem “voort uit de onveilige deserialisatie van AuthorizationCookie-objecten die naar het GetCookie()-eindpunt worden verzonden, waar gecodeerde cookiegegevens worden gedecodeerd met behulp van AES-128-CBC en vervolgens worden gedeserialiseerd via BinaryFormatter zonder de juiste typevalidatie, waardoor uitvoering van externe code met SYSTEEM-rechten mogelijk wordt.”
Het is vermeldenswaard dat Microsoft zelf ontwikkelaars eerder heeft aanbevolen om te stoppen met het gebruik van BinaryFormatter voor deserialisatie, vanwege het feit dat de methode niet veilig is bij gebruik met niet-vertrouwde invoer. Een implementatie van BinaryFormatter werd vervolgens in augustus 2024 uit .NET 9 verwijderd.
“Om CVE-2025-59287 uitgebreid aan te pakken, heeft Microsoft een out-of-band beveiligingsupdate uitgebracht voor de volgende ondersteunde versies van Windows Server: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core-installatie) en Windows Server 2025”, aldus Redmond in een update.
Zodra de patch is geïnstalleerd, wordt geadviseerd het systeem opnieuw op te starten om de update van kracht te laten worden. Als het toepassen van de out-of-band geen optie is, kunnen gebruikers een van de volgende acties ondernemen om zich tegen de fout te beschermen:
- Schakel de WSUS-serverrol op de server uit (indien ingeschakeld)
- Blokkeer inkomend verkeer naar poorten 8530 en 8531 op de hostfirewall
“Maak deze oplossingen NIET ongedaan totdat u de update hebt geïnstalleerd”, waarschuwde Microsoft.
De ontwikkeling komt omdat het Nederlandse Nationale Cyber Security Centrum (NCSC) zei van een “vertrouwde partner te hebben vernomen dat misbruik van CVE-2025-59287 op 24 oktober 2025 werd waargenomen.”
Eye Security, dat NCSC-NL op de hoogte bracht van de in-the-wild exploitatie, zei dat het voor het eerst had waargenomen dat de kwetsbaarheid om 06:55 uur UTC werd misbruikt om een Base64-gecodeerde payload te droppen die gericht was op een niet nader genoemde klant. De payload, een uitvoerbaar .NET-bestand, “neemt de waarde ‘aaaa’-verzoekheader aan en voert deze rechtstreeks uit met behulp van cmd.exe.”
“Dit is de payload die naar servers wordt gestuurd, die de request header met de naam ‘aaaa’ gebruiken als bron voor het commando dat moet worden uitgevoerd”, zegt Piet Kerkhofs, CTO van Eye Security, tegen The Hacker News. “Hierdoor wordt voorkomen dat opdrachten rechtstreeks in het logboek verschijnen.”
Op de vraag of de exploitatie eerder dan vandaag had kunnen plaatsvinden, antwoordde Kerkhofs dat de “PoC van HawkTrace twee dagen geleden is uitgebracht en een standaard ysoseriële .NET-payload kan gebruiken, dus ja, de stukken voor exploitatie waren aanwezig.”
Gezien de beschikbaarheid van een PoC-exploit en de gedetecteerde exploitatieactiviteit, is het essentieel dat gebruikers de patch zo snel mogelijk toepassen om de dreiging te beperken. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de fout ook toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties de fout op 14 november 2025 moeten verhelpen.
(Dit is een verhaal in ontwikkeling. Kom later terug voor meer updates.)
