WSUSにCVSS 9.8の脆弱性 PoCコード公開済みのため要注意：セキュリティニュースアラート

HawkTrace Securityは、WSUSの「GetCookie」処理に存在する脆弱性CVE-2025-59287を解析し、PoCを公開した。この脆弱性はRCEが可能でCVSS 9.8の重大欠陥とされている。

[後藤大地，ITmedia]

　セキュリティ企業のHawkTrace Securityは2025年10月18日（現地時間）、「Microsoft Windows Server Update Services」（WSUS）に存在する深刻な脆弱（ぜいじゃく）性「CVE-2025-59287」の分析およびPoC（概念実証）を公開した。この欠陥が悪用されると、攻撃者が認証を経ずにシステム権限で任意のコードを実行できる可能性がある。

　WSUSは、企業や組織のIT管理者が「Windows」システムへの更新プログラムを一元的に管理・配布するためのサーバ機能だ。各クライアントはWSUSサーバと通信し、承認されている更新を取得する仕組みとなっている。この通信の中で使用される「GetCookie」エンドポイントが脆弱性の起点とされている。

WSUSにCVSS 9.8の脆弱性　PoCコード公開済みのため要注意

　HawkTrace Securityの分析によると、脆弱性の原因は「EncryptionHelper.DecryptData」メソッド内で発生する不適切な処理にある。この関数はクライアントから送信されている暗号化済みCookieを「AES-128-CBC」で復号した後、復号データを「.NET」の「BinaryFormatter」を使ってデシリアライズしている。BinaryFormatterは古いシリアライズ方式であり、入力データの型検証を実施しない。そのため攻撃者が細工した暗号化済みデータを送信すると、任意のオブジェクトを復元させ、結果として任意のコードを実行できる。

　この脆弱性の共通脆弱性評価システム（CVSS）v3.1の深刻度は9.8（Critical）と評価されており、リモートコード実行（RCE）が可能となる。影響を受けるのは、WSUSが動作する全てのサポート対象の「Windows Server」とされる。攻撃者は特別な権限を必要とせず、認証なしでHTTP経由で細工したSOAPリクエストを送信するだけで攻撃を成立させられる。

　公開されているPoCコードにおいて、攻撃者が「C#」を使って悪意あるシリアル化データを生成し、AES-128-CBCで暗号化した上でSOAPメッセージに埋め込む手法が説明されている。WSUSサーバ側ではこのデータを復号し、型の検証をしないままBinaryFormatterで復元するため、システム権限下で任意のコードが実行される。

　HawkTrace Securityはこの欠陥を解消するにはBinaryFormatterを廃止し、安全なシリアライズ方式に移行することが不可欠と指摘している。復号したデータの型を厳密に検証する処理や入力データの検証強化が必要だとしている。入力値への適切なサニタイズ処理が実施されていないことも、脆弱性の背景として挙げられている。

　Microsoftはこの脆弱性を2025年10月の月例セキュリティ更新（Patch Tuesday）で修正対象として公表しており、対応する更新プログラムの適用が推奨されている。現時点で実際の悪用事例は確認されていないが、公開情報に基づいたPoCコードが存在することから、攻撃が現実化する危険性は高く、早急な修正プログラムの適用が求められる。

　HawkTrace Securityは、同種の脆弱性が今後も古い.NETアプリケーションで発見される可能性に言及している。特に更新配布サーバのように他のシステムと広く通信する役割を持つ環境において、こうした欠陥が重大な被害を引き起こす恐れがある。WSUSの利用環境を外部ネットワークから遮断し、SOAP通信の監視を強化することが推奨されている。