I ricercatori della Counter Threat Unit™ (CTU) stanno indagando sullo sfruttamento di una vulnerabilità di esecuzione di codice remoto (CVE-2025-59287) in Windows Server Update Services (WSUS), lo strumento nativo di gestione IT per gli amministratori di sistemi Windows.
Il 14 ottobre 2025, Microsoft ha rilasciato patch per le versioni di Windows Server interessate. Dopo la pubblicazione di un’analisi tecnica relativa a CVE-2025-59287 e il rilascio del codice proof-of-concept (PoC) su GitHub, Microsoft ha emesso un aggiornamento di sicurezza straordinario (out-of-band) il 23 ottobre.
Osservazioni e analisi
Il 24 ottobre, Sophos ha rilevato abusi della vulnerabilità critica di deserializzazione in diversi ambienti dei clienti.
L’ondata di attività, durata diverse ore e rivolta a server WSUS esposti su Internet, ha coinvolto clienti appartenenti a vari settori industriali e non sembrava trattarsi di attacchi mirati.
Non è chiaro se gli aggressori dietro questa campagna abbiano utilizzato il PoC pubblico o sviluppato un proprio exploit.
La prima attività rilevata risale al 24 ottobre alle 02:53 UTC, quando un attore sconosciuto ha indotto i processi worker di IIS su server WSUS vulnerabili a eseguire un PowerShell codificato in Base64 tramite due processi cmd.exe annidati (vedi Figura 1).
Leggi tutto l’articolo.
