System Windows Server 2025 jest obecnie narażony na exploit polegający na zdalnym wykonaniu kodu za pośrednictwem usługi Windows Update i w chwili pisania tego tekstu poprawka firmy Microsoft nie rozwiązała jeszcze problemu. Z raportów przesłanych do The Register wynika, że podjęta na początku tego miesiąca próba załatania exploita przez Microsoft nie zapobiegła żadnemu aktywnemu wykorzystaniu, w przeciwieństwie do strony Microsoftu w CVE, która donosi, że problem nie został jeszcze publicznie ujawniony ani wykorzystany. Microsoft tylko częściowo łata lukę w zabezpieczeniach związaną z ostatnimi problemami z SharePoint, chociaż na szczęście skala tego exploita wydaje się obecnie bardziej ograniczona niż poprzednia. Na szczęście jest to atak polegający na zdalnym wykonaniu kodu, który wydaje się ograniczać do programu PowerShell, a nie pełny, dowolny atak polegający na wykonaniu kodu, który umożliwiłby atakującym wirtualne wykonanie wszystko chcą w systemie docelowym.
Analitycy rozmawiają z Rejestr Należy zauważyć, że od 21 października dostępny jest jeden dowód koncepcji. Aktualne przykłady ataku wskazują, że hakerzy uzyskują dostęp do systemu i przeprowadzają rekonesans sieci, wykonując polecenia PowerShell w celu uzyskania informacji o danej sieci i przeniesienia ich do punktu końcowego Webhook.site. Jak ostrzega Dustin Childs z firmy Trend Micro: „Jeśli łatka nie usuwa w pełni danej luki, jej istnienie w rzeczywistości zwiększa ryzyko dla przedsiębiorstw. Ludzie myślą, że są chronieni, podczas gdy w rzeczywistości tak nie jest. Musimy zacząć pociągać ich do odpowiedzialności nie tylko za łatki psujące funkcjonalność, ale także za łatki, które nie rozwiązują udokumentowanych przez nich problemów związanych z bezpieczeństwem”.
Microsoftu oficjalna dokumentacja zachęca potencjalne ofiary do wyłączenia roli serwera WSUS na swoich serwerach i zablokowania ruchu przychodzącego do portów 8530 i 8531, co powinno uniemożliwić wykorzystanie usługi Windows Server Update Service. Jednakże dokumentacja ta wskazuje również na to, że pozapasmowa aktualizacja zabezpieczeń z 23 października faktycznie rozwiązuje problem, co nie wydaje się prawdą w oparciu o raporty, które wciąż napływają na temat działania exploita w chwili pisania tego tekstu. Miejmy nadzieję, że Microsoft wcześniej niż później całkowicie usunie tego exploita — do tego czasu zalecamy użytkownikom całkowite wyłączenie usługi Windows Server Update Service.
Źródło obrazu: Microsoft, WikiMedia Commons (nieoficjalne logo Windows Server 2025)