Windows Server Update Services (WSUS) vulnerability abused to harvest sensitive data

1 minute de lecture

Mis à jour : October 30, 2025

Exploitation d’une faille WSUS pour le vol de données sensibles

Une vulnérabilité critique de corruption de données (CVE-2025-59287) affectant le service Windows Server Update Services (WSUS) est activement exploitée. Cette faille permet à des attaquants d’exécuter du code à distance et de subtiliser des informations sensibles sur les serveurs WSUS exposés sur Internet. Les attaques observées semblent être généralisées, touchant divers secteurs sans ciblage spécifique apparent.

Après la divulgation publique et la publication de code PoC, des campagnes d’exploitation ont été détectées. L’une d’elles utilise un script PowerShell encodé pour collecter et exfiltrer des données vers le service Webhook.site. Les informations volées comprennent l’adresse IP externe et le port du serveur ciblé, la liste des utilisateurs du domaine Active Directory, et la configuration des interfaces réseau. Ces données sont ensuite envoyées via une requête HTTP POST. Les analyseurs ont observé des données d’organisations variées, notamment des universités, des entreprises technologiques, manufacturières et de santé, principalement basées aux États-Unis.

Points Clés

Vulnérabilité: Corruption de données critique dans WSUS.
Identifiant CVE: CVE-2025-59287.
Impact: Exécution de code à distance et vol de données sensibles (utilisateurs AD, configurations réseau).
Méthode d’attaque: Exploitation via des serveurs WSUS exposés sur Internet, utilisation de scripts PowerShell pour l’exfiltration de données vers Webhook.site.
Timing: Exploitation détectée peu après la divulgation publique et la publication de code PoC, avec une activité intense le 24 octobre 2025.
Cible: Serveurs WSUS exposés sur Internet, indiscriminément.

Vulnérabilités

CVE-2025-59287: Vulnérabilité d’exécution de code à distance due à une corruption de données dans WSUS.

Recommandations

Appliquer immédiatement les correctifs et suivre les recommandations du fournisseur pour les versions affectées de Windows Server.
Identifier et sécuriser les interfaces WSUS exposées sur Internet.
Analyser les journaux réseau, hôte et applicatifs à la recherche d’indications de scan et d’exploitation malveillants.
Mettre en œuvre une segmentation et un filtrage réseau pour restreindre l’accès aux ports et services WSUS aux seuls systèmes nécessaires.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Windows Server Update Services (WSUS) vulnerability abused to harvest sensitive data

Exploitation d’une faille WSUS pour le vol de données sensibles

Points Clés

Vulnérabilités

Recommandations

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast