Κυβερνήσεις και ιδιωτικές εταιρείες ασφαλείας προειδοποιούν εδώ και καιρό ότι οι εισβολείς εκμεταλλεύονται ήδη ένα κρίσιμο σφάλμα στο Microsoft Windows Server Update Services. Μετά το Redmond προώθησε μια επείγουσα ενημέρωση για την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE από το remote code execution).
Αυτή την στιγμή, υπάρχει τουλάχιστον μία επίθεση απόδειξης ιδέας (proof-of-concept) που κυκλοφορεί στον κυβερνοχώρο και χρειάζεται μόνο ένα ειδικά σχεδιασμένο αίτημα για να εκμεταλλευτεί το σφάλμα για πλήρη κατάληψη του συστήματος στόχου.
Η ευπάθεια, που παρακολουθείται με το αναγνωριστικό CVE-2025-59287 είναι αρκετά σοβαρή για να λάβει βαθμολογία CVSS 9,8 στα 10. Η ευπάθεια επηρεάζει τις εκδόσεις του Windows Server από το 2012 έως το 2025. Προέρχεται από μη ασφαλή αποσειριοποίηση μη αξιόπιστων δεδομένων και επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να τρέχουν αυθαίρετο κώδικα σε ευάλωτα συστήματα. Servers που δεν χρησιμοποιούν το Windows Server Update Services (WSUS) δεν επηρεάζονται.
Η Microsoft αρχικά κυκλοφόρησε μια επιδιόρθωση για το CVE-2025-59287 στις 14 Οκτωβρίου (Patch Tuesday) αλλά δεν επιδιόρθωσε πλήρως το κενό ασφαλείας και αργά την Πέμπτη το Redmond προώθησε άλλη μια επείγουσα ενημέρωση.
Αλλά και η δεύτερη ενημέρωση δεν κλείνει το κενό ασφαλείας. Ο ερευνητής ασφαλείας Kevin Beaumont ανέφερε ότι εντόπισε κενά στο out-of-band update στο εργαστήριό του και αφού πέτυχε την απομακρυσμένη εκτέλεση κώδικα, “μπόρεσα να παραποιήσω τις ενημερώσεις που προσφέρονταν στους πελάτες και να προωθήσω κακόβουλες ενημερώσεις… Δεν θέλω να επεκταθώ πολύ για να αποτρέψω επιθέσεις από τις ομάδες ransomware, αλλά μπορείτε να ανακτήσετε προηγούμενη έρευνα και να την προσαρμόσετε εύκολα για να σερβίρετε ψεύτικες ενημερώσεις για τους πελάτες”.
Την Παρασκευή, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ πρόσθεσε το CVE-2025-59287 στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, και το Ολλανδικό Εθνικό Κέντρο Κυβερνοασφάλειας φέρεται να εξέδωσε προειδοποίηση για δραστηριότητα εκμετάλλευσης.
Η Microsoft από την άλλη δεν αναφέρει ότι το CVE-2025-59287 εκμεταλλεύεται στο διαδίκτυο.
Εν τω μεταξύ και ιδιωτικές εταιρείες ασφαλείας, συμπεριλαμβανομένων των Huntress και watchTowr, προειδοποιούν ότι οι επιτιθέμενοι εκμεταλλεύονται ήδη το ελάττωμα.
“Γύρω στις 23-10-2025 23:34 UTC, η Huntress παρατήρησε κακόβουλους χρήστες που στόχευαν συστήματα με WSUS που είναι εκτεθειμένα δημόσια στις προεπιλεγμένες θύρες τους (8530/TCP και 8531/TCP) για να εκμεταλλευτούν μια ευπάθεια αποσειριοποίησης μέσω του AuthorizationCookie (CVE-2025-59287)”, αναφέρουν οι ερευνητές της Huntress.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
