Újabb Windows Server-baki: a WSUS már támadások célpontja

Súlyos jogosultság – egyszerű támadás

A biztonsági rés lehetővé teszi a kiberbűnözők számára, hogy távolról, rendszergazdai jogosultsággal futtassanak kártékony kódot, ráadásul ehhez semmilyen felhasználói interakció vagy speciális jogosultság nem szükséges. A sérülékenység akár „féregként” is terjedhet több WSUS-szerver között, ha több ilyen frissítőszerver található a vállalati hálózaton.

Frissítési roham – vagy gyors letiltás?

A Microsoft már kiadta a javítócsomagot minden érintett Windows Server-verzióra (2012-től egészen a várható 2025-ös kiadásig). Az adminisztrátoroknak sürgősen ajánlott frissíteni, de ha ez nem megoldható, a WSUS-szerepkör letiltása is átmenetileg segíthet kizárni a támadási lehetőséget.

Már folynak a támadások

Az elmúlt napokban több biztonsági cég is megerősítette, hogy megkezdődtek a valódi támadások. Hollandiában és Németországban együtt már 350 érintett WSUS-szervert találtak, világszerte pedig körülbelül 2500 nyitott példányt. Az amerikai Huntress cég arról számolt be, hogy október 23-tól tucatnyi szervert támadtak meg olyan parancsokkal, amelyekkel begyűjtötték a rendszeren belüli felhasználóneveket, hálózati beállításokat és tartományi információkat, majd ezeket egy webhook-címre küldték el.

Nő a veszély

A holland kibervédelmi központ arra figyelmeztet, hogy bár a WSUS-szerverek ritkán érhetők el közvetlenül az internetről, a nyilvánosan elérhető PoC-kód jelentősen növeli a támadások valószínűségét. A Microsoft szerint a hiba kiemelten magas kockázatú, azonban a hivatalos álláspontban még nem szerepel, hogy széles körű támadások folynának.

2025, adrienne, www.bleepingcomputer.com alapján