• 發布單位:TWCERT/CC
• 更新日期:2025-11-27
• 點閱次數:262

Windows於2025年10月發布例行資安更新公告，揭露Windows Server Update Services (WSUS) 存在一個高嚴重性漏洞(CVE-2025-59287，CVSS：9.8)。該漏洞允許未經身分驗證的遠端攻擊者，透過發送精心設計的請求觸發反序列化，導致在目標伺服器上以系統權限執行任意程式碼。此漏洞僅影響啟用WSUS伺服器角色的Windows Server，預設情況下WSUS角色並未啟用。

美國網路安全與基礎設施安全局（CISA）已將CVE-2025-59287納入已知漏洞目錄(KEV)，並觀察該漏洞已被攻擊者積極利用。荷蘭國家網路安全中心（NCSC-NL）亦發布警告，確認漏洞已遭實際利用，建議用戶儘速依循Windows官方建議，採取相關緩解措施，以防止系統遭入侵並造成重大損失。

資安業者Huntress發現攻擊者正在掃描對外開放WSUS連接埠（8530與8531），並向可連線的伺服器發送惡意請求。攻擊過程中，攻擊者可能透過PowerShell解碼並執行惡意酬載，搜尋網路內所有伺服器與使用者資訊，並將竊取的資料傳送至遠端伺服器；同時還會利用代理伺服器混淆攻擊過程。

面對此重大資安威脅，建議企業和組織採取以下防護措施：

1. 依Mirosoft安全更新指南，確認受影響版本，並將對應的安全更新(Security Patches)儘速套用至所有 WSUS 伺服器。

2. 嚴格執行服務最小化原則：除非有明確業務需求，應停用 WSUS 伺服器角色或移除不必要的WSUS部署。

3. 邊界防禦：在主機與網路邊界防火牆上，阻止/阻擋 (Block) 連接埠8530和8531的所有外部入站流量。

4. 系統安全開發：建立安全的資料序列化機制與嚴格的類型驗證，以防範不受信任的反序列化攻擊。

5. 威脅偵測：持續監控並透過日誌分析工具分析 WSUS 相關的網路流量與系統日誌，以儘早檢測任何可疑行為。