Atacantes exploram falha do Windows Server Update Services para roubar dados organizacionais confidenciais

Atacantes exploram falha do Windows Server Update Services para roubar dados organizacionais confidenciais

Os pesquisadores da Sophos identificaram a exploração no mundo real de uma vulnerabilidade recentemente divulgada no Windows Server Update Services (WSUS), onde os agentes de ameaças estão coletando dados confidenciais de organizações em todo o mundo.

A falha crítica de execução remota de código, rastreada como CVE-2025-59287, tornou-se um alvo principal para invasores que buscam violar redes corporativas e extrair informações valiosas sem requisitos de autenticação.

A vulnerabilidade ganhou atenção imediata depois que a Microsoft lançou patches em 14 de outubro de 2025, seguido por uma atualização emergencial fora de banda em 23 de outubro.

A publicação do código de prova de conceito no GitHub acelerou o cronograma de exploração, com os agentes da ameaça iniciando os ataques poucas horas depois que a análise técnica se tornou pública.

Pesquisadores da Unidade de Contra-Ameaças Sophos detectado o primeiro abuso dessa falha ocorreu em 24 de outubro às 02h53 UTC, marcando o início de uma onda coordenada de ataques direcionados a servidores WSUS voltados para a Internet em vários setores.

A onda de exploração durou várias horas e impactou clientes nos setores de tecnologia, saúde, manufatura e educação, predominantemente baseados nos Estados Unidos.

Como os invasores exploram a vulnerabilidade

A metodologia de ataque observada pelos pesquisadores de segurança da Sophos demonstra capacidades sofisticadas.

Os agentes de ameaças aproveitam o bug de desserialização para executar comandos do PowerShell codificados em Base64 por meio de processos cmd.exe aninhados em execução em processos de trabalho do IIS.

Uma vez implantado, o PowerShell malicioso O script coleta sistematicamente dados organizacionais críticos, incluindo endereços IP externos e configurações de porta, listas completas de usuários de domínio do Active Directory e configurações detalhadas de interface de rede.

As informações coletadas são então exfiltradas para URLs de webhook.site externos sob o controle dos atores da ameaça.

Os investigadores identificaram pelo menos seis incidentes em ambientes de clientes Sophos, embora a análise preliminar sugira que aproximadamente 50 vítimas podem ter sido comprometidas.

Quando as tentativas de upload do webhook.site falham, o script usa automaticamente o comando curl nativo, garantindo sucesso exfiltração de dados independentemente dos problemas iniciais de conectividade.

A análise dos URLs públicos do webhook.site revela despejos confidenciais contendo informações do usuário do domínio e configurações de rede de várias universidades, empresas de tecnologia, empresas de manufatura e organizações de saúde.

A escolha dos invasores de usar serviços webhook.site gratuitos com históricos de solicitações visíveis permitiu aos pesquisadores documentar todo o escopo da atividade de exploração.

Entre 24 de outubro, às 02h53 UTC e às 11h32 UTC, os invasores atingiram o limite máximo de 100 solicitações em URLs de webhook disponíveis, demonstrando a escala da atividade de reconhecimento direcionada a sistemas vulneráveis.

Especialistas em segurança e agências governamentais, incluindo a CISA e a NSA, instam as organizações a implementar imediatamente medidas de proteção.

Isso inclui a aplicação de patches disponíveis a todas as instalações do WSUS, a identificação de servidores WSUS expostos à Internet e a restrição do acesso às portas 8530 e 8531 do WSUS por meio de segmentação de rede e políticas de firewall. As organizações também devem revisar os registros em busca de indicadores de tentativas de varredura e exploração.

A rápida exploração do CVE-2025-59287 demonstra a rapidez com que os agentes de ameaças se mobilizam para abusar de vulnerabilidades recentemente divulgadas, tornando a aplicação oportuna de patches e a segmentação de rede essenciais para posturas de segurança organizacional.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.