En bref

• CVE-2025-59287 est une vulnérabilité critique d’exécution de code à distance dans Microsoft WSUS, notée 9,8 sur 10 sur l’échelle CVSS.
• La faille permet à des attaquants non authentifiés d’exécuter à distance du code en tant que SYSTEM sur les serveurs affectés.
• Plus de 480 000 serveurs WSUS dans le monde sont exposés à Internet, avec des exploitations actives observées.
• Microsoft a publié un correctif d’urgence après que la première correction se soit révélée insuffisante.
• La vulnérabilité provient d’une désérialisation non sécurisée, un piège technique qui a déjà hanté les géants du logiciel.

Une faille dans l’armure : WSUS sous le feu

Imaginez un facteur de confiance qui se met soudainement à livrer des colis empoisonnés à toutes les maisons de votre rue. C’est le scénario cauchemardesque auquel sont confrontées aujourd’hui les organisations utilisant Windows Server Update Services (WSUS) de Microsoft, après la divulgation de CVE-2025-59287 - une vulnérabilité si grave qu’elle a forcé Microsoft à publier un correctif d’urgence en dehors de son calendrier habituel.

WSUS est la colonne vertébrale de la gestion des correctifs pour d’innombrables entreprises, permettant aux équipes informatiques de distribuer en toute sécurité des mises à jour logicielles sur leurs réseaux. Mais la confiance même placée dans ce système est devenue son talon d’Achille. Des chercheurs ont découvert qu’en exploitant une faiblesse dans la façon dont WSUS gère certaines données - en le trompant pour qu’il “désérialise” des informations malveillantes - un attaquant pouvait prendre le contrôle du serveur avec les privilèges les plus élevés.

Comment l’exploit fonctionne : simple, silencieux, dévastateur

Le cœur technique du problème est la “désérialisation non sécurisée” - imaginez ouvrir un colis sans vérifier ce qu’il contient, puis laisser ce qui s’y trouve faire n’importe quoi chez vous. Les attaquants peuvent envoyer des requêtes spécialement conçues à des points d’accès WSUS comme GetCookie() ou ReportingWebService, incitant le serveur à traiter des données corrompues. Lors d’un test en laboratoire, le groupe de sécurité HackerHood a démontré un exploit de preuve de concept lançant la calculatrice Windows (calc.exe) à titre de démonstration inoffensive. Dans la réalité, bien sûr, les attaquants pourraient exécuter des ransomwares, voler des données ou créer des portes dérobées persistantes.

L’exploit est d’une simplicité déconcertante à exécuter : il suffit de pointer un script vers une instance WSUS vulnérable sur ses ports par défaut (8530/8531), et le serveur fait le reste. Pire encore, l’attaque persiste - redémarrer le serveur ou la console de gestion relance le code malveillant à moins d’un nettoyage complet.

Déjà vu : échos des attaques passées sur la chaîne d’approvisionnement

Ce n’est pas la première fois qu’un mécanisme de mise à jour de confiance est utilisé comme arme. Le tristement célèbre piratage de SolarWinds en 2020 a vu des attaquants compromettre un système de mise à jour logicielle pour infiltrer des milliers d’organisations, y compris des agences gouvernementales américaines. Bien que la faille WSUS ne soit pas liée aux mêmes acteurs, le schéma est étrangement familier : les attaquants adorent détourner les outils mêmes sur lesquels comptent les défenseurs.

Les agences de sécurité comme la CISA n’ont pas perdu de temps, ajoutant CVE-2025-59287 à leur liste des vulnérabilités activement exploitées. Des analyses Shodan ont révélé près d’un demi-million de serveurs WSUS exposés à Internet, rendant la surface d’attaque vaste et tentante pour les cybercriminels du monde entier.

Et maintenant ? La course pour contenir les dégâts

Le correctif d’urgence de Microsoft est désormais disponible, mais l’application des correctifs prend du temps - et certaines organisations accusent du retard. Pour celles qui ne peuvent pas mettre à jour immédiatement, les experts recommandent des mesures drastiques : désactiver complètement le rôle WSUS ou bloquer les ports à risque. Cependant, ces mesures interrompent aussi le fonctionnement normal des mises à jour, mettant les équipes informatiques dans une situation délicate.

L’incident rappelle brutalement que même les infrastructures numériques les plus fiables peuvent devenir des vecteurs d’attaque. Alors que les cybercriminels se précipitent pour exploiter de nouvelles faiblesses, les défenseurs doivent rester agiles, vigilants et - surtout - ne jamais faire confiance à un colis simplement parce qu’il vient du facteur habituel.

WIKICROOK

• Exécution de code à distance (RCE) : L’exécution de code à distance (RCE) se produit lorsqu’un attaquant exécute son propre code sur le système d’une victime, menant souvent à un contrôle total ou à la compromission de ce système.
• Désérialisation : La désérialisation convertit des données en objets utilisables par un programme. Si elle n’est pas réalisée de manière sécurisée, elle peut permettre à des attaquants d’injecter des instructions malveillantes dans les applications.
• WSUS (Windows Server Update Services) : WSUS est un outil Microsoft permettant aux organisations de gérer et de distribuer centralement les mises à jour Windows à plusieurs ordinateurs de leur réseau.
• Preuve : Une preuve de concept (PoC) est une démonstration montrant qu’une vulnérabilité de cybersécurité peut être exploitée, aidant à valider et évaluer les risques réels.
• CISA (Cybersecurity and Infrastructure Security Agency) : La CISA est une agence fédérale américaine qui protège les infrastructures critiques contre les menaces cyber et physiques, soutenant la sécurité et la résilience nationales.