Une nouvelle alerte est lançée. La vulnérabilité CVE-2025-59287, touchant Windows Server Update Services (WSUS), est activement exploitée par des pirates informatiques. Cette faille de gravité critique, permet l’exécution de code à distance sur des serveurs vulnérables. Elle peut ainsi offrir aux attaquants un accès total aux systèmes.
Quelques jours seulement après la publication d’un correctif d’urgence par Microsoft, plusieurs équipes de renseignement sur les menaces, dont Google Threat Intelligence Group (GTIG) et Palo Alto Networks Unit 42, tirent la sonnette d’alarme. Les deux équipés confirment que des attaques en cours ciblant cette brèche sont observées. La situation est alarmante sachant que de son coté Microsoft n’a pas encore mis à jour son bulletin de sécurité pour reconnaître publiquement l’exploitation active de la faille.
Une faille exploitée à grande échelle malgré un patch d’urgence
Cette faille CVE-2025-59287 affecte les versions de Windows Server de 2012 à 2025 lorsque le rôle WSUS est activé. Les serveurs dépourvus de ce rôle ne sont pas concernés. Selon Trend Micro Zero Day Initiative, plus de 100 000 tentatives d’exploitation ont été recensées en une semaine, sur près de 500 000 serveurs WSUS exposés à Internet.
L’exploitation reste pour l’instant aveugle dans le sens d’aucun ciblage géographique ou sectoriel spécifique. Cependant les chercheurs estiment que presque tous les serveurs vulnérables finiront compromis sans un correctif complet.
Le GTIG explique
Après l’accès initial, les attaquants exécutent des commandes PowerShell et exfiltrent des informations sur le réseau interne.
Ces données, notamment les identifiants et la configuration système, sont ensuite envoyées vers des serveurs distants contrôlés par les pirates.
Un risque « catastrophique » pour les infrastructures connectées
D’après Justin Moore, directeur de la recherche sur les menaces chez Palo Alto Networks, le risque est considéré comme majeur pour les entreprises utilisant WSUS exposé à Internet. Il prévient que
Le potentiel est catastrophique pour les entités en aval.
Les chercheurs notent que pour l’heure les assaillants se concentrent sur la reconnaissance des réseaux internes. Cependant le scénario le plus redouté est celui de serveurs compromis utilisés pour pousser des logiciels malveillants via le service de mise à jour Windows, affectant potentiellement des milliers d’entreprises simultanément.
Un correctif défaillant et des critiques envers Microsoft
Le Patch Tuesday du mois d’octobre a été l’occasion pour Microsoft de publier un premier correctif. Malheureusement ce dernier s’est révélé insuffisant. Une mise à jour d’urgence a été poussée le jeudi suivant mais bien trop tard pour empêcher les premières intrusions.
Dustin Childs, de Trend Micro note
Le fait que le correctif initial ait été contourné est inquiétant. Lorsqu’un correctif ne résout pas complètement une vulnérabilité, il peut même accroître le risque : les entreprises pensent être protégées, alors qu’elles ne le sont pas.
Cette situation relance une nouvelle fois le débat sur la qualité des correctifs de sécurité Microsoft. Certains ne mâchent plus leurs mots comme Dustin Childs
Nous devons commencer à les tenir responsables, non seulement pour les mises à jour qui cassent des fonctions, mais aussi pour celles qui ne corrigent pas réellement les failles.
Avec près d’un demi-million de serveurs WSUS encore exposés à Internet, la menace pourrait s’intensifier dans les jours à venir. Plusieurs experts estiment que la fenêtre d’exploitation pourrait s’élargir rapidement. Les chercheurs recommandent aux administrateurs de désactiver temporairement WSUS sur les serveurs exposés, d’appliquer le correctif d’urgence sans délai et de surveiller toute activité inhabituelle sur les ports 8530 (HTTP) et 8531 (HTTPS).
