Uma vulnerabilidade de execução remota de código (RCE), classificada como crítica, está a colocar os administradores de sistemas em alerta máximo. A falha, identificada como CVE-2025-59287, afeta o Windows Server Update Service (WSUS) e já está a ser ativamente explorada por atacantes, de acordo com múltiplas empresas de cibersegurança.
A vulnerabilidade afeta especificamente os servidores Windows que têm a função WSUS configurada para servir como fonte de atualização para outros servidores WSUS dentro de uma organização — uma configuração que não vem ativa por defeito. O perigo reside na facilidade com que pode ser explorada: remotamente, em ataques de baixa complexidade que não exigem privilégios especiais nem interação por parte do utilizador, permitindo aos hackers executar código malicioso com privilégios de SYSTEM. Estas condições levantam ainda a preocupação de que a falha possa ser "wormable", ou seja, capaz de se propagar automaticamente entre servidores WSUS vulneráveis.
A corrida contra o tempo: Ataques já acontecem
A urgência para aplicar as correções é real. A empresa de cibersegurança holandesa Eye Security reportou hoje que já observou tentativas de varrimento e exploração durante a manhã, tendo confirmado que pelo menos um dos seus clientes foi comprometido através de um exploit diferente do que foi partilhado publicamente. Embora os servidores WSUS não estejam habitualmente expostos à internet, a empresa refere ter encontrado cerca de 2.500 instâncias acessíveis a nível mundial.
Também a empresa americana Huntress encontrou provas de ataques a explorar a CVE-2025-59287, com início na passada quinta-feira, dia 23 de outubro. Os atacantes visaram as portas padrão do WSUS (8530/TCP e 8531/TCP) para executar comandos de reconhecimento do domínio interno do Windows, recolhendo dados como o nome do utilizador, a lista de contas no domínio e a configuração de rede.
Microsoft lança patches de emergência
Em resposta à ameaça, a Microsoft lançou atualizações de segurança de emergência para todas as versões afetadas do Windows Server, aconselhando os administradores de TI a instalá-las o mais rapidamente possível. As atualizações estão disponíveis no boletim de segurança oficial:
Windows Server 2025 (KB5070881)
Windows Server, versão 23H2 (KB5070879)
Windows Server 2022 (KB5070884)
Windows Server 2019 (KB5070883)
Windows Server 2016 (KB5070882)
Windows Server 2012 R2 (KB5070886)
Windows Server 2012 (KB5070887)
Para os administradores que não consigam aplicar imediatamente os patches, a Microsoft recomenda a desativação da função de servidor WSUS nos sistemas vulneráveis como forma de mitigar o vetor de ataque.
Confirmação oficial e o risco crescente
O risco aumentou durante o fim de semana, quando a empresa HawkTrace Security publicou um código de exploração de prova de conceito (PoC). Reforçando a gravidade da situação, o Centro Nacional de Cibersegurança dos Países Baixos (NCSC-NL) confirmou hoje as observações de exploração ativa, alertando que a disponibilidade pública do PoC aumenta significativamente o risco.
A própria Microsoft classificou a vulnerabilidade como "Exploração Mais Provável", indicando que é um alvo apelativo para os atacantes, embora ainda não tenha atualizado o seu aviso para confirmar oficialmente os ataques em curso. Perante as evidências, a recomendação é clara: os administradores devem agir de imediato para proteger os seus servidores.
Nenhum comentário
Seja o primeiro!