攻击者目前正利用 Windows 服务器更新服务（WSUS）的一个高危漏洞发起攻击，该漏洞的概念验证（PoC）利用代码已公开。

该漏洞编号为 CVE-2025-59287，属于远程代码执行漏洞，仅影响一类 Windows 服务器——需启用 "WSUS 服务器角色 "，且作为组织内部其他 WSUS 服务器的更新源（此功能默认未开启）。

威胁者可通过低复杂度攻击远程利用该漏洞，无需权限验证或用户交互，即可获得 SYSTEM 权限（系统最高权限）并执行恶意代码。在此情况下，该安全漏洞还可能在 WSUS 服务器之间形成蠕虫式传播。

微软目前针对所有受影响的 Windows Server 版本发布了非常规安全更新（非 " 补丁星期二 " 常规更新），以 " 全面修复 CVE-2025-59287 漏洞 "，并建议 IT 管理员尽快安装，具体补丁如下：

- Windows Server 2025（补丁编号 KB5070881）

- Windows Server 23H2 版本（补丁编号 KB5070879）

- Windows Server 2022（补丁编号 KB5070884）

- Windows Server 2019（补丁编号 KB5070883）

- Windows Server 2016（补丁编号 KB5070882）

- Windows Server 2012 R2（补丁编号 KB5070886）

- Windows Server 2012（补丁编号 KB5070887） 

对于无法立即部署紧急补丁的管理员，微软还提供了临时缓解方案，包括在受影响系统上禁用 WSUS 服务器角色，以消除攻击路径。

随后，网络安全公司 HawkTrace Security 发布了 CVE-2025-59287 的概念验证利用代码，但该代码暂不支持执行任意命令。

在野攻击已出现：多国监测到扫描与入侵行为

1. 荷兰 Eye Security：全球超 2500 台设备暴露，部分系统遭入侵

荷兰网络安全公司 Eye Security 报告称，已监测到针对该漏洞的扫描与利用尝试，其至少一名客户的系统已被入侵——攻击者使用的利用工具与 HawkTrace 周末发布的版本不同。

该公司还指出，尽管 WSUS 服务器通常不会暴露在公网，但全球仍有约 2500 台此类设备可被公网访问，其中德国约 250 台、荷兰约 100 台。

2. 美国 Huntress：10 月 23 日起出现针对性攻击，聚焦暴露默认端口的设备

美国网络安全公司 Huntress 发现，自 10 月 23 日起，已有攻击者针对公网暴露默认端口（8530/TCP 和 8531/TCP）的 WSUS 设备发起 CVE-2025-59287 攻击。

该公司监测到的攻击中，威胁者执行了 PowerShell 侦察命令，收集内部 Windows 域信息并通过网络钩子发送，收集的数据包括以下命令输出：

- whoami：当前登录用户名

- net user /domain：列出 Windows 域内所有用户账户

- ipconfig /all：显示所有网络接口的配置信息

3. 荷兰国家网络安全中心（NCSC-NL）：证实攻击存在，风险持续升高

荷兰国家网络安全中心证实了上述两家公司的发现，并在预警中提醒管理员。该机构强调："WSUS 服务通常不会通过公网开放访问，但目前该漏洞的公开概念验证代码已出现，导致利用风险显著上升。"

目前，微软已将 CVE-2025-59287 的风险等级定为 " 极可能被利用 "，表明该漏洞对攻击者具有较强吸引力；不过截至目前，微软尚未更新安全公告以确认该漏洞已遭在野利用。