Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice remoto (RCE) nel servizio di aggiornamento dei server Windows (WSUS) di Microsoft, rivolta a tutte le organizzazioni mondiali.

La vulnerabilità, catalogata come CVE-2025-59287, presenta un punteggio CVSS pari a 9,8, permettendo a malintenzionati senza autenticazione di eseguire codice a con diritti di amministratore all’interno di una rete, minacciando così le organizzazioni.

La falla di sicurezza, originata dalla deserializzazione all’interno di WSUS, ha subito una parziale correzione mediante la patch mensile Microsoft di ottobre, tuttavia si è reso necessario un aggiornamento straordinario pubblicato il 23 ottobre 2025, a causa dell’insufficienza della soluzione iniziale.

Microsoft e CISA esortano a un intervento urgente per contrastare la minaccia. Per iniziare, occorre individuare i server suscettibili a rischio eseguendo una scansione per rilevare quelli con il ruolo WSUS attivo e con le porte 8530/8531 aperte. Applicare immediatamente la patch out-of-band del 23 ottobre , quindi riavviare per garantire la mitigazione completa. Ritardare questa operazione potrebbe esporre le reti a RCE non autenticate.

Per coloro che non possono applicare subito la patch, le soluzioni temporanee includono la disabilitazione del ruolo WSUS o il blocco del traffico in ingresso verso le porte interessate sul firewall host; queste azioni non devono essere annullate finché non viene installato l’aggiornamento.

Pochi giorni prima, il ricercatore Batuhan Er di HawkTrace aveva rilasciato exploit proof-of-concept (PoC) che hanno velocizzato l’attività malevola, permettendo agli attaccanti di bersagliare i server WSUS in esecuzione con un account SYSTEM.

La società di sicurezza olandese Eye Security ha identificato i primi tentativi di sfruttamento della vulnerabilità alle 06:55 UTC del 24 ottobre 2025, mediante un payload .NET codificato in Base64.

Tale payload è stato progettato per superare i sistemi di registrazione attraverso l’esecuzione di comandi veicolati da un’intestazione di richiesta personalizzata denominata “aaaa”. La minaccia, secondo quanto riportato dalle aziende specializzate in sicurezza, sta aumentando rapidamente, con segnalazioni di attacchi reali già a partire dal 24 ottobre 2025.

La CISA, inoltre, ha incluso il CVE-2025-59287 nel suo catalogo delle vulnerabilità sfruttate (KEV), impone alle agenzie federali di risolvere la vulnerabilità entro il 14 novembre 2025, data che evidenzia la facile sfruttabilità e la scarsa complessità dell’exploit, il quale non necessita di interazione o autenticazione utente.

Le aziende che utilizzano WSUS per la gestione centralizzata degli aggiornamenti sono esposte a notevoli rischi, in quanto una violazione efficace potrebbe permettere agli aggressori di diffondere aggiornamenti dannosi su tutti i dispositivi collegati.

La vulnerabilità sfrutta un meccanismo di serializzazione legacy nell’endpoint GetCookie(), in cui gli oggetti AuthorizationCookie crittografati vengono decrittografati tramite AES-128-CBC e deserializzati tramite BinaryFormatter senza convalida del tipo, aprendo la porta al controllo completo del sistema.

L'articolo RCE critica in Microsoft WSUS sfruttata attivamente. CISA avverte: rischio imminente proviene da Red Hot Cyber.