Depuis fin octobre 2025, une vulnérabilité critique dans Windows Server Update Services (WSUS) fait les gros titres de la cybersécurité.
Identifiée sous le numéro CVE-2025-59287, cette brèche permet à des attaquants non authentifiés d’exécuter du code à distance sur des serveurs vulnérables, via une désérialisation insecure de données non fiables. Google Threat Intelligence et des firmes comme Palo Alto Networks rapportent une exploitation active et opportuniste, touchant déjà plusieurs organisations à travers le monde. Avec environ 500 000 serveurs WSUS exposés sur internet, les experts estiment que le risque est élevé, surtout pour les entreprises qui gèrent leurs mises à jour via ce service.
Les assaillants, dont le groupe UNC6512 fraîchement identifié par Google, ciblent les ports par défaut 8530 et 8531 pour un accès initial « aveugle », sans viser de secteurs précis. Une fois à l’intérieur, ils lancent des scripts PowerShell pour sonder le réseau (commandes comme « whoami » ou « net user /domain ») avant d’exfiltrer des infos sensibles vers des serveurs distants. Un proof-of-concept public est disponible depuis le 21 octobre, et Trend Micro a comptabilisé plus de 100 000 tentatives d’attaque en une semaine seulement. Ce qui inquiète le plus, c’est le potentiel de propagation : un serveur WSUS compromis pourrait diffuser du malware à des milliers de machines internes, transformant un outil de maintenance en vecteur d’infection massive.
Microsoft a réagi avec un patch initial lors du Patch Tuesday du 8 octobre, mais il s’est révélé incomplet, laissant la porte ouverte aux contournements. Un correctif d’urgence a suivi le 23 octobre, qualifié de « plus robuste » par la CISA, qui l’a ajouté à son catalogue des vulnérabilités exploitées connues dès le 24. Pourtant, des voix comme celle de Dustin Childs de Trend Micro critiquent le géant pour ne pas avoir mis à jour son bulletin de sécurité, créant un faux sentiment de protection chez les admins.
Face à cette menace, les recommandations sont claires et urgentes : appliquez le patch d’urgence sans délai, désactivez temporairement le rôle WSUS sur les serveurs exposés, et surveillez les ports suspects.
 fait les gros titres de la cybersécurité. ){kind=link}