Desmistificando as Vulnerabilidades do WSUS: Colocando os Pingos nos Is
Um olhar aprofundado sobre a vulnerabilidade crítica CVE-2025-59287 no Windows Server Update Services (WSUS), explorando os detalhes técnicos da exploração, o impacto na funcionalidade do WSUS e as estratégias de mitigação e recuperação. Entenda como um atacante pode comprometer seu servidor WSUS e como se proteger.
MundiX News·18 de abril de 2026·7 min de leitura·👁 9 views
Uma das vulnerabilidades mais recentes no Windows Server Update Services (WSUS) é a falha crítica identificada como CVE-2025-59287, com uma pontuação CVSS de 9.8. Esta vulnerabilidade está relacionada à desserialização de dados não confiáveis no serviço de atualização do Windows Server e permite que um atacante remoto não autenticado execute código no servidor, enviando um evento especialmente criado.
Inicialmente, as etapas de exploração foram relatadas incorretamente, pois foram retiradas de um artigo que se referia à CVE-2023-35317. Os autores corrigiram o artigo posteriormente, movendo a análise da CVE-2025-59287 para um artigo separado. Essa correção, no entanto, não se propagou rapidamente, causando confusão. Este artigo visa esclarecer a situação e demonstrar como um atacante pode restaurar o snap-in do WSUS após a exploração da vulnerabilidade.
Aviso: Este artigo tem fins exclusivamente informativos e educacionais e não constitui uma instrução ou incitação à prática de atividades ilegais. Os materiais descritos destinam-se a aumentar a conscientização sobre possíveis vulnerabilidades e métodos de prevenção. Qualquer teste de segurança só é permitido com a permissão explícita do proprietário dos recursos relevantes ou como parte de um programa oficial de bug bounty. Ações não autorizadas podem violar a lei. O autor deste artigo não incentiva ou apoia o uso indevido das informações apresentadas e não se responsabiliza por seu uso para fins ilegais. Lembre-se de que você deve prestar atenção à proteção de seus dados e usar as informações deste artigo apenas para fins legais.
Detalhes Técnicos da Exploração
Para explorar a vulnerabilidade, as seguintes condições devem ser atendidas:
Um servidor Windows com a função WSUS Server habilitada (desabilitada por padrão).
As atualizações KB5070879 / KB5070881 / KB5070882 / KB5070883 / KB5070884 / KB5070886 / KB5070887 não estão instaladas.
Acesso de rede às portas 8530 (HTTP) ou 8531 (HTTPS).
Nenhuma credencial é necessária.
A cadeia de exploração técnica é a seguinte:
Obtenção da configuração: O atacante envia uma solicitação para /ReportingWebService/ReportingWebService.asmx para obter o ServerID.
Extração de cookies: Usando o ServerID, uma solicitação é feita para /SimpleAuthWebService/SimpleAuth.asmx para obter o AuthorizationCookie.
Obtenção de dados criptográficos: Uma solicitação é feita para /ClientWebService/Client.asmx para extrair timestamps e a payload criptografada.
Entrega da payload: A solicitação final envia um evento com um objeto serializado malicioso, criado via ysoserial.net com o gadgetTextFormattingRunProperties, usando o evento SynchronizationCompletedCancel.
Ao processar o evento com ID 389 (SynchronizationCompletedCancel), o WSUS tenta desserializar o XML com o corpo do erro, o que leva à execução de código arbitrário. Além disso, durante a exploração, um nó falso com o DNS especificado é registrado, no contexto do qual um evento é enviado. Este processo pode ser facilmente automatizado, por exemplo, usando um modelo Nuclei.
Recuperação do Snap-in Após o Teste
Após uma exploração bem-sucedida, o snap-in do WSUS é quebrado. Isso ocorre porque a GUI, ao exibir os nós, analisa seus eventos, e o evento do nó falso está corrompido e não pode ser desserializado. Como resultado, a exibição dos nós causa uma exceção e a interface para de funcionar.
Para restaurar o snap-in, é necessário excluir o evento malicioso da tabela tbEventInstance no banco de dados SUSDB. No entanto, o acesso direto ao banco de dados é restrito a usuários privilegiados, e o serviço WSUS geralmente é executado em nome do Network Service.
No entanto, o serviço WSUS tem acesso às funções usadas no snap-in, portanto, o usuário em nome do qual a sessão é obtida (mesmo o Network Service) pode gerenciar os nós registrados. Isso permite que a exploração seja concluída com segurança e o snap-in seja restaurado imediatamente.
Exclui o nó falso registrado do banco de dados WSUS.
Limpa automaticamente o evento associado com ID 389, usado para entregar a payload.
Importância: Sem a limpeza, artefatos permanecem no WSUS - um nó falso e eventos nos logs, o que pode interromper a operação normal do serviço.
Esta vulnerabilidade demonstra como componentes críticos da infraestrutura podem se tornar um ponto de entrada para invasores. Ao realizar testes de penetração, é importante não apenas atacar, mas também restaurar corretamente o sistema após a exploração.
Recomendações de Proteção
Instale as atualizações KB5070879 / KB5070881 / KB5070882 / KB5070883 / KB5070884 / KB5070886 / KB5070887, dependendo da versão do Windows Server.
Restrinja o acesso à rede: o WSUS não deve ser acessível a partir da Internet. Use a segmentação de rede para restringir o acesso apenas a sub-redes confiáveis.
Se não for possível atualizar, desative temporariamente a função WSUS Server ou bloqueie as portas 8530/8531 até que os patches sejam instalados.
Expert Center de Segurança da Positive Technologies (PT ESC)
Sem cartão para começar · Planos a partir de R$49/mês
Uma das vulnerabilidades mais recentes no Windows Server Update Services (WSUS) é a falha crítica identificada como CVE-2025-59287, com uma pontuação CVSS de 9.8. Esta vulnerabilidade está relacionada à desserialização de dados não confiáveis no serviço de atualização do Windows Server e permite que um atacante remoto não autenticado execute código no servidor, enviando um evento especialmente criado.
Inicialmente, as etapas de exploração foram relatadas incorretamente, pois foram retiradas de um artigo que se referia à CVE-2023-35317. Os autores corrigiram o artigo posteriormente, movendo a análise da CVE-2025-59287 para um artigo separado. Essa correção, no entanto, não se propagou rapidamente, causando confusão. Este artigo visa esclarecer a situação e demonstrar como um atacante pode restaurar o snap-in do WSUS após a exploração da vulnerabilidade.
Aviso: Este artigo tem fins exclusivamente informativos e educacionais e não constitui uma instrução ou incitação à prática de atividades ilegais. Os materiais descritos destinam-se a aumentar a conscientização sobre possíveis vulnerabilidades e métodos de prevenção. Qualquer teste de segurança só é permitido com a permissão explícita do proprietário dos recursos relevantes ou como parte de um programa oficial de bug bounty. Ações não autorizadas podem violar a lei. O autor deste artigo não incentiva ou apoia o uso indevido das informações apresentadas e não se responsabiliza por seu uso para fins ilegais. Lembre-se de que você deve prestar atenção à proteção de seus dados e usar as informações deste artigo apenas para fins legais.
Detalhes Técnicos da Exploração
Para explorar a vulnerabilidade, as seguintes condições devem ser atendidas:
Um servidor Windows com a função WSUS Server habilitada (desabilitada por padrão).
As atualizações KB5070879 / KB5070881 / KB5070882 / KB5070883 / KB5070884 / KB5070886 / KB5070887 não estão instaladas.
Acesso de rede às portas 8530 (HTTP) ou 8531 (HTTPS).
Nenhuma credencial é necessária.
A cadeia de exploração técnica é a seguinte:
Obtenção da configuração: O atacante envia uma solicitação para /ReportingWebService/ReportingWebService.asmx para obter o ServerID.
Extração de cookies: Usando o ServerID, uma solicitação é feita para /SimpleAuthWebService/SimpleAuth.asmx para obter o AuthorizationCookie.
Obtenção de dados criptográficos: Uma solicitação é feita para /ClientWebService/Client.asmx para extrair timestamps e a payload criptografada.
Entrega da payload: A solicitação final envia um evento com um objeto serializado malicioso, criado via ysoserial.net com o gadgetTextFormattingRunProperties, usando o evento SynchronizationCompletedCancel.
Ao processar o evento com ID 389 (SynchronizationCompletedCancel), o WSUS tenta desserializar o XML com o corpo do erro, o que leva à execução de código arbitrário. Além disso, durante a exploração, um nó falso com o DNS especificado é registrado, no contexto do qual um evento é enviado. Este processo pode ser facilmente automatizado, por exemplo, usando um modelo Nuclei.
Recuperação do Snap-in Após o Teste
Após uma exploração bem-sucedida, o snap-in do WSUS é quebrado. Isso ocorre porque a GUI, ao exibir os nós, analisa seus eventos, e o evento do nó falso está corrompido e não pode ser desserializado. Como resultado, a exibição dos nós causa uma exceção e a interface para de funcionar.
Para restaurar o snap-in, é necessário excluir o evento malicioso da tabela tbEventInstance no banco de dados SUSDB. No entanto, o acesso direto ao banco de dados é restrito a usuários privilegiados, e o serviço WSUS geralmente é executado em nome do Network Service.
No entanto, o serviço WSUS tem acesso às funções usadas no snap-in, portanto, o usuário em nome do qual a sessão é obtida (mesmo o Network Service) pode gerenciar os nós registrados. Isso permite que a exploração seja concluída com segurança e o snap-in seja restaurado imediatamente.
Exclui o nó falso registrado do banco de dados WSUS.
Limpa automaticamente o evento associado com ID 389, usado para entregar a payload.
Importância: Sem a limpeza, artefatos permanecem no WSUS - um nó falso e eventos nos logs, o que pode interromper a operação normal do serviço.
Esta vulnerabilidade demonstra como componentes críticos da infraestrutura podem se tornar um ponto de entrada para invasores. Ao realizar testes de penetração, é importante não apenas atacar, mas também restaurar corretamente o sistema após a exploração.
Recomendações de Proteção
Instale as atualizações KB5070879 / KB5070881 / KB5070882 / KB5070883 / KB5070884 / KB5070886 / KB5070887, dependendo da versão do Windows Server.
Restrinja o acesso à rede: o WSUS não deve ser acessível a partir da Internet. Use a segmentação de rede para restringir o acesso apenas a sub-redes confiáveis.
Se não for possível atualizar, desative temporariamente a função WSUS Server ou bloqueie as portas 8530/8531 até que os patches sejam instalados.
Expert Center de Segurança da Positive Technologies (PT ESC)
