Společnost Microsoft vydala nouzovou opravu, která se týká služby Windows Server Update Service. Zranitelnost s označením CVE-2025-59287 dostala hodnocení 9,8 z 10, tedy nejvyšší stupeň kritičnosti.

Podle bezpečnostního bulletinu umožňuje tato chyba vzdálené spuštění kódu (RCE) bez nutnosti přihlášení či interakce uživatele. Útočník tak může získat systémová oprávnění (SYSTEM privileges) a teoreticky převzít kontrolu nejen nad jedním serverem, ale i nad celou infrastrukturou, která z něj čerpá aktualizace.

Jak k chybě dochází

Problém vzniká při deserializaci nedůvěryhodných dat v komponentě WSUS. To znamená, že server může mylně zpracovat škodlivě upravené požadavky, které pak spustí kód vložený útočníkem.
Z technického pohledu jde o nízko-komplexní zranitelnost, kterou lze zneužít poměrně snadno, bez potřeby hlubších znalostí nebo sociálního inženýrství.

Zdroj: Shutterstock

Proč Microsoft jednal mimo řádný cyklus

Standardně Microsoft vydává záplaty v rámci Patch Tuesday - druhé úterý v měsíci. Tentokrát ale reagoval mimo plán, protože se na internetu objevilo proof-of-concept, ukázkový kód, který demonstruje, jak lze chybu zneužít.

Jakmile se takové kódy dostanou na veřejnost, obvykle to znamená, že útoky se během hodin nebo dnů objeví i v praxi. Microsoft proto vydal mimořádnou aktualizaci a doporučil administrátorům její okamžitou instalaci.

Co dělat, pokud WSUS používáte

Microsoft doporučuje nainstalovat nejnovější mimořádnou aktualizaci a následně restartovat systém. Pokud server WSUS neprovozujete, riziko se vás netýká. Pokud však WSUS aktivní je, server se stává zranitelným už při povolení této role, pokud záplata není přítomna.

Dočasným řešením může být zakázání WSUS Server Role, nebo alespoň blokace příchozího provozu na portech 8530 a 8531. Tím se však zastaví distribuce aktualizací na klientské počítače, což je třeba zvážit.

Co se změní po instalaci záplaty

Po aplikaci aktualizace může WSUS přestat zobrazovat podrobné informace o synchronizačních chybách. Microsoft vysvětluje, že tato funkce byla původně dočasná a její odstranění je součástí opravy.
Hlavní výhodou ale samozřejmě zůstává okamžitá eliminace možnosti vzdáleného spuštění kódu.

Bez ohledu na velikost firmy by měla být aktualizace provedena co nejdříve. Zneužití této chyby může vést nejen ke kompromitaci serveru, ale i k šíření malwaru v celé síti. V praxi by útočník mohl nahradit legitimní aktualizace škodlivými, což by z interní aktualizační služby učinilo nástroj k masivnímu útoku.