-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [03-11-2025]: Atualização de segurança crítica para Windows Server Update Services (WSUS) – CVE-2025-59287

Prezados(as),

O CAIS alerta a comunidade de segurança cibernética sobre a publicação de uma atualização de segurança emergencial (out-of-band) pela Microsoft para corrigir a vulnerabilidade crítica CVE-2025-59287 no componente Windows Server Update Services (WSUS), presente em sistemas operacionais Windows Server suportados.

A vulnerabilidade permite execução remota de código (RCE) não autenticada, possibilitando que um ator malicioso execute código arbitrário com privilégios elevados no servidor WSUS comprometido.

1) Produtos afetados;
2) Identificador CVE (http://cve.mitre.org);
3) Descrição da vulnerabilidade;
4) Mitigação e correções disponíveis; e
5) Mais Informações.


1) Produtos afetados:
    Servidores Windows Server com o papel WSUS habilitado, incluindo:
    - Windows Server 2012/2012 R2 (casos ainda em suporte estendido)
    - Windows Server 2016
    - Windows Server 2019
    - Windows Server 2022
    - Windows Server 2025

    Observação: Apenas servidores com a função WSUS ativa são afetados.

2) Identificador CVE (http://cve.mitre.org):
    CVE-2025-59287

3) Descrição da(s) vulnerabilidade(s):
    A vulnerabilidade CVE-2025-59287 é classificada como crítica e permite a execução remota de código devido à "desserialização" insegura de dados não confiáveis no WSUS. Um atacante remoto e sem autenticação pode explorar esta falha enviando requisições especialmente manipuladas, obtendo controle sobre o servidor com privilégios de SYSTEM.

    A exploração ativa já foi reportada publicamente, indicando risco imediato às organizações que utilizam WSUS para distribuição de atualizações no ambiente Windows.

4) Mitigação e correções disponíveis:
    A Microsoft publicou uma atualização emergencial (out-of-band). Recomenda-se aplicar imediatamente as atualizações de segurança disponibilizadas pelo fornecedor.

    Medidas recomendadas:
      - Aplicar o patch emergencial da Microsoft para WSUS.
      - Reiniciar o servidor após a aplicação do patch.
      - Verificar se o serviço WSUS está exposto à internet indevidamente.
      - Caso a aplicação imediata do patch não seja possível:
            • Restringir acesso às portas 8530 (HTTP) e 8531 (HTTPS);
            • Considerar a desativação temporária do papel WSUS, se viável;
            • Monitorar logs para atividades suspeitas associadas a processos do WSUS (ex.: w3wp.exe, wsusservice.exe).

5) Mais informações:
    Boletim Microsoft Security Update Guide:
        https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
    
    Comunicado CISA sobre exploração ativa:
        https://www.cisa.gov/news-events/alerts/2025/10/24/microsoft-releases-out-band-security-update-mitigate-windows-server-update-service-vulnerability-cve


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

#######################################################################
#	    	  INTELIGÊNCIA EM CIBERSEGURANÇA (CAIS) 	      #
#              Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                                     #
# cais@cais.rnp.br       https://www.rnp.br/cais                      #
# Tel. 019-37873300      Fax. 019-37873301                            #
#                        https://www.rnp.br/cais/#SistemadeAlerta     #
# Chave PGP disponível   https://plataforma.rnp.br/cais/cais-pgp.key  #
#######################################################################
-----BEGIN PGP SIGNATURE-----

iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmkKZF8ACgkQ1Per/VOa
V4B37A//XlB9Cyvzz8T7tHB9TiGQyMNA7Sw9lv7Bxd5NwtzYAQiX/5mdQ28/z9GG
nTZYngCOBihhnAMPN+C+ptgS5IzonhvkMZE6uAxG7j2DUCMO+xqzRL/AATUv4pMs
Rl8wBhLvtWVw1p2WlEoQIkcQID510uLh80chLDJLcdF79RhFU31Yw4qDs9Vi4SnL
+rvKTNunI2XJLEgW80dcAUnh3S9NgZ+pSTaPDcPGSANM+iDmSHg4ztVVRo13FOhD
p89S6+IJhnSu8AfpmDP7JTBnVfJnZjpG7kT0hdHjkN4BmAiZrRM7Tz/QCEY1QJ08
8TJNb2OjVSwyKx/+l/XGfozF69/2UxBfnL0OIKyRwWz7pwkxcZzio4nyIZfXTeJD
9aKHc0RC1nAyUE5hQL2OyNQ2imFUW02ohqyDvX5mroI8yAzgNSIkYSaIU4WbSvCc
ypgZDG1ZObHQ0pMbQfewjvwje2FZILmYC9O8gBvA0JeBjhQCz0YgkyngqjR+l+go
zieSu/AMZQPlqq65cIU98FXPf79/CsN6FRpCrIB04P8DwRPPFt3Bs4Pzz7AyPkJy
eVh8YOu6D43jbW7lFSPN42XeaJ4fdQv+P76W2Zd1dycUAA54fBz2wopS/c/WSP2w
Z2YBrds1xHGi09R8PTopm3Ciz3ibK/PjJgU39weWs3djTPuocLI=
=tuIR
-----END PGP SIGNATURE-----