Súlyos jogosultság – egyszerű támadás
A biztonsági rés lehetővé teszi a kiberbűnözők számára, hogy távolról, rendszergazdai jogosultsággal futtassanak kártékony kódot, ráadásul ehhez semmilyen felhasználói interakció vagy speciális jogosultság nem szükséges. A sérülékenység akár „féregként” is terjedhet több WSUS-szerver között, ha több ilyen frissítőszerver található a vállalati hálózaton.
Frissítési roham – vagy gyors letiltás?
A Microsoft már kiadta a javítócsomagot minden érintett Windows Server-verzióra (2012-től egészen a várható 2025-ös kiadásig). Az adminisztrátoroknak sürgősen ajánlott frissíteni, de ha ez nem megoldható, a WSUS-szerepkör letiltása is átmenetileg segíthet kizárni a támadási lehetőséget.
Már folynak a támadások
Az elmúlt napokban több biztonsági cég is megerősítette, hogy megkezdődtek a valódi támadások. Hollandiában és Németországban együtt már 350 érintett WSUS-szervert találtak, világszerte pedig körülbelül 2500 nyitott példányt. Az amerikai Huntress cég arról számolt be, hogy október 23-tól tucatnyi szervert támadtak meg olyan parancsokkal, amelyekkel begyűjtötték a rendszeren belüli felhasználóneveket, hálózati beállításokat és tartományi információkat, majd ezeket egy webhook-címre küldték el.
Nő a veszély
A holland kibervédelmi központ arra figyelmeztet, hogy bár a WSUS-szerverek ritkán érhetők el közvetlenül az internetről, a nyilvánosan elérhető PoC-kód jelentősen növeli a támadások valószínűségét. A Microsoft szerint a hiba kiemelten magas kockázatú, azonban a hivatalos álláspontban még nem szerepel, hogy széles körű támadások folynának.
