Microsoft corrige un bug critique WSUS en urgence

Génération NT / Actualités / Microsoft corrige un bug critique WSUS en urgence

Publié le 27 octobre 2025 à 09:40 par Jérôme G.

Pour combler une vulnérabilité critique affectant WSUS sur Windows Server, Microsoft publie une mise à jour de sécurité hors cycle. La faille est activement exploitée dans des attaques.

Face à une situation critique, Microsoft publie un correctif de sécurité en urgence. Une publication hors cycle pour combler une vulnérabilité d'exécution de code à distance (RCE) dans Windows Server Update Service (WSUS).

Référencée CVE-2025-59287, la faille avait initialement été corrigée lors du dernier Patch Tuesday, mais le patch s'est révélé insuffisant. La situation est d'autant plus tendue qu'un code d'exploitation est publiquement disponible et que des attaques actives ont été confirmées.

Quelle est la nature de cette vulnérabilité ?

La faille CVE-2025-59287 est classée comme critique, avec un score CVSS de 9.8 sur 10. Elle affecte les serveurs Windows sur lesquels le rôle WSUS est activé, un service utilisé par les administrateurs IT pour gérer et distribuer les mises à jour Windows sur leur réseau.

La vulnérabilité réside dans une " désérialisation non sécurisée de données non fiables ". Plus précisément, elle provient " de la désérialisation non sécurisée des objets AuthorizationCookie envoyés au point de terminaison GetCookie() ", comme l'explique le chercheur en sécurité Batuhan Er (HawkTrace).

Cette manipulation permet à un attaquant distant et non authentifié d'exécuter du code malveillant avec les privilèges System. Elle peut servir à des vers informatiques entre serveurs WSUS.

L'alerte sonne pour des attaques

Le Centre national de cybersécurité néerlandais (NCSC) a confirmé avoir été informé " par un partenaire de confiance que des abus de CVE-2025-59287 ont été observés le 24 octobre 2025 ".

Eye Security, la société ayant alerté le NCSC, a détecté une exploitation visant à déposer une charge utile encodée en Base64. Huntress a également signalé des acteurs malveillants ciblant les instances WSUS exposées sur leurs ports par défaut (8530/TCP et 8531/TCP) dès le 23 octobre.

Quelles sont les mesures à prendre immédiatement ?

Microsoft exhorte les clients concernés à installer le correctif idoine dès que possible. Les mises à jour sont cumulatives et remplacent les patchs d'octobre. Un redémarrage du système est nécessaire.

Pour les administrateurs ne pouvant pas appliquer immédiatement les correctifs, le groupe de Redmond propose des solutions de contournement : désactiver le rôle WSUS sur le serveur ou bloquer tout le trafic entrant vers les ports 8530 et 8531 sur le pare-feu. Des contournements qui rendent WSUS non opérationnel.

La CISA américaine a ajouté la faille à son catalogue KEV pour des exploitations actives, obligeant les agences fédérales à l'avoir corrigée avant le 14 novembre 2025.

Source : Microsoft - The Hacker News

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire