A Microsoft lançou atualizações de segurança fora do ciclo habitual (out-of-band) para corrigir uma vulnerabilidade de severidade crítica no Windows Server Update Service (WSUS), cujo código para exploração (proof-of-concept) já se encontra disponível publicamente.
O WSUS é uma ferramenta da Microsoft que permite aos administradores de TI gerir e distribuir atualizações do Windows pelos computadores dentro de uma rede empresarial.
A vulnerabilidade que pode parar servidores
Identificada como CVE-2025-59287 e corrigida inicialmente no Patch Tuesday deste mês, esta falha de segurança de execução remota de código (RCE) afeta apenas os servidores Windows que têm a função de servidor WSUS ativa, uma funcionalidade que não vem ligada por defeito.
A vulnerabilidade pode ser explorada remotamente em ataques de baixa complexidade que não necessitam de qualquer interação por parte do utilizador. Isto permite que atacantes, mesmo sem privilégios, consigam executar código malicioso com permissões de SISTEMA nos servidores vulneráveis, o que a torna potencialmente "wormable", ou seja, capaz de se propagar autonomamente entre servidores WSUS.
"Os servidores Windows que não têm a função de servidor WSUS ativada não estão vulneráveis. Se a função de servidor WSUS estiver ativa, o servidor torna-se vulnerável se a correção não for instalada", explicou a Microsoft. "Um atacante remoto e não autenticado poderia enviar um evento criado para o efeito que desencadeia uma desserialização de objeto insegura num mecanismo de serialização legado, resultando na execução remota de código."
A empresa de Redmond já disponibilizou atualizações de segurança para todas as versões afetadas do Windows Server e aconselhou os clientes a instalá-las o mais rapidamente possível:
Windows Server 2025 (KB5070881)
Windows Server, versão 23H2 (KB5070879)
Windows Server 2022 (KB5070884)
Windows Server 2019 (KB5070883)
Windows Server 2016 (KB5070882)
Windows Server 2012 R2 (KB5070886)
Windows Server 2012 (KB5070887)
Numa atualização ao aviso de segurança original, a Microsoft revelou que já existe online um proof-of-concept para a vulnerabilidade CVE-2025-59287, tornando ainda mais urgente a aplicação imediata das correções nos servidores vulneráveis.
O que fazer se não puder atualizar já
Para os administradores que não consigam instalar imediatamente estas correções de emergência, a Microsoft partilhou algumas soluções temporárias. Estas incluem desativar a função de servidor WSUS para eliminar o vetor de ataque ou bloquear todo o tráfego de entrada nas portas 8530 e 8531 na firewall do anfitrião, o que tornará o WSUS inoperacional.
No entanto, é importante notar que, após desativar o WSUS ou bloquear o tráfego, os computadores da rede deixarão de receber atualizações do servidor local.
"Esta é uma atualização cumulativa, pelo que não precisa de aplicar nenhuma atualização anterior antes de a instalar, uma vez que substitui todas as atualizações anteriores para as versões afetadas", acrescentou a Microsoft. "Se ainda não instalou a atualização de segurança do Windows de outubro de 2025, recomendamos que aplique esta atualização OOB. Após instalar a atualização, será necessário reiniciar o sistema."
Nenhum comentário
Seja o primeiro!