Diventa rivenditore, è semplice:
01

Chiamaci al numero
+39 02 3105 9294

02

Contattaci subito in chat qui

03

Apri un ticket di tipo commerciale qui

Contattaci

+39 02 3105 9294

attivo da Lunedì a Venerdì dalle 9 alle 13 e dalle 14 alle 18
per comunicazioni in differente orario, compila il modulo. Risponderemo il prima possibile.

    Linkedin Facebook-f Instagram Youtube

    CVE-2025-59287: Attacchi attivi contro i server WSUS

    Bitdefender
    CVE-2025-59287 (CVSS 9.8 – Critical).

    CVE-2025-59287: Attacchi attivi contro i server WSUS.

    Cosa sapere e come proteggersi

    Negli ultimi giorni, Bitdefender ha segnalato una campagna di attacchi attivi che sfrutta una vulnerabilità critica in Windows Server Update Services (WSUS), identificata come CVE-2025-59287.
    Il bug, valutato con punteggio CVSS 9.8, consente a un aggressore remoto non autenticato di eseguire codice arbitrario sul server vulnerabile, compromettendo di fatto l’intera rete aziendale.

    Cos’è CVE-2025-59287

    La falla risiede in un problema di deserializzazione non sicura nel componente Client WebService di WSUS, che gestisce le richieste SOAP per l’autorizzazione dei client e la distribuzione degli aggiornamenti.  Un attaccante può inviare una richiesta SOAP malevola che induce il server a decodificare e eseguire codice arbitrario, ottenendo accesso completo con i privilegi del servizio WSUS o IIS (w3wp.exe o wsusservice.exe).
    Dal momento che WSUS è spesso ospitato su server ad alto privilegio – in alcuni casi persino su domain controller – il rischio di compromissione è elevato.

    Come avviene l’attacco

    Bitdefender ha osservato un flusso di attacco ricorrente, caratterizzato da automazione, furtività e preparazione a fasi successive (pre-ransomware):
    Accesso iniziale: sfruttamento della falla per ottenere esecuzione di comandi tramite i processi di WSUS o IIS.
    Download del payload: uso di PowerShell per scaricare file da server remoti, tra cui l’eseguibile dcrsproxy.exe e il file rcpkg.db.
    Ricognizione: raccolta di informazioni di sistema e privilegi tramite comandi come whoami o ipconfig.
    Comunicazione esterna: invio dei dati a servizi legittimi come webhook.site o Cloudflare Workers, usati come canali di Command & Control (C2) difficili da rilevare.
    Persistenza: installazione di componenti aggiuntivi o webshell per mantenere l’accesso nel tempo.

    In alcuni casi, gli attaccanti hanno utilizzato anche msiexec per scaricare file .msi da domini mascherati e stabilire connessioni DNS verso server di controllo, una tecnica nota come DNS beaconing. Si tratta di una minaccia reale perché non serve autenticazione: chiunque possa raggiungere la porta WSUS può lanciare l’exploit. Inoltre WSUS opera con diritti amministrativi sulla rete e il traffico verso servizi legittimi rende difficile il rilevamento. Questi accessi vengono spesso sfruttati in un secondo momento per installare ransomware o sottrarre dati. In sostanza, CVE-2025-59287 è un “punto d’ingresso silenzioso” che gli attaccanti usano per preparare un’infezione più ampia.

    Cosa fare subito

    1. Applicare la patch senza ritardi
    Microsoft ha rilasciato un aggiornamento correttivo: installarlo immediatamente è la misura più efficace. Se il server è rimasto esposto, è prudente presumere una compromissione e avviare una verifica forense.

    2. Monitorare processi e log
    Prestare attenzione a catene come:

    w3wp.exe → cmd.exe → powershell.exe (comando codificato)

    o alla creazione di file .aspx sospetti.
    Controllare eventuali connessioni verso:

    134[.]122[.]38[.]84

webhook[.]site

digimg[.]store

qgtxtebl.workers[.]dev

    3. Rafforzare la protezione endpoint
    Soluzioni EDR/XDR con analisi comportamentale possono bloccare esecuzioni di PowerShell anomale o catene di processo sospette.
    Bitdefender, ad esempio, consiglia di abilitare il modulo Advanced Threat Control (ATC).

    4. Segmentare la rete
    Limitare l’accesso ai server WSUS e impedire l’esposizione diretta a Internet. Applicare ACL e controlli di accesso per isolare i dispositivi edge.

    5. Preparare la risposta agli incidenti.
    Se WSUS era esposto, eseguire controlli approfonditi su log, utenti e configurazioni. In caso di dubbio, coinvolgere un team di incident response.

    Indicatori di compromissione principali

    File sospetto: 

C:\ProgramData\dcrsproxy.exe

Hash MD5: a0f65fcd3b22eb8b49b2a60e1a7dd31c

Processi coinvolti: w3wp.exe, wsusservice.exe, cmd.exe, powershell.exe

C2 osservati: webhook[.]site, digimg[.]store, qgtxtebl.workers[.]dev

    Fonti ufficiali:
    🔗 Bitdefender IntelliZone Threat Report
    🔗 GitHub IOCs Repository

    CVE-2025-59287 rappresenta una delle vulnerabilità più gravi emerse negli ultimi mesi, perché colpisce un servizio chiave presente in quasi tutte le infrastrutture Microsoft aziendali. Gli attacchi già in corso dimostrano che la finestra tra la pubblicazione del PoC e lo sfruttamento reale si è ridotta a poche ore. Per chi si occupa di sicurezza, la priorità è chiara: patch immediata, monitoraggio continuo e segmentazione della rete. Come spesso accade nel mondo cyber, la velocità di reazione è la vera misura della resilienza.

    Per saperne di più leggi l’articolo di Marc Zugec 

    WP2Social Auto Publish Powered By : XYZScripts.com