Celah WSUS di Windows Server Kini Dieksploitasi Aktif
Peneliti keamanan memperingatkan adanya eksploitasi aktif terhadap kerentanan serius pada Windows Server Update Services (WSUS) yang memungkinkan eksekusi kode jarak jauh tanpa interaksi pengguna. Celah yang ditandai sebagai CVE-2025-59287 ini memiliki tingkat keparahan kritis karena dapat dieksploitasi dalam serangan berkompleksitas rendah dan berpotensi berjalan dengan hak istimewa SYSTEM.
Kerentanan hanya memengaruhi server Windows yang menjalankan peran WSUS Server yang dikonfigurasi sebagai sumber pembaruan bagi WSUS lain dalam organisasi — sebuah fitur yang tidak diaktifkan secara default. Namun pada lingkungan yang rentan, penyerang dapat memanfaatkan bug ini dari jarak jauh tanpa perlu kredensial atau interaksi pengguna, sehingga ada kemungkinan celah ini bersifat wormable antar server WSUS jika lingkungan terkonfigurasi demikian.
Microsoft merespons dengan merilis pembaruan darurat untuk semua versi Windows Server yang terdampak dan meminta administrator memasang patch secepatnya. Pembaruan yang diterbitkan meliputi antara lain:
- Windows Server 2025 — KB5070881
- Windows Server, version 23H2 — KB5070879
- Windows Server 2022 — KB5070884
- Windows Server 2019 — KB5070883
- Windows Server 2016 — KB5070882
- Windows Server 2012 R2 — KB5070886
- Windows Server 2012 — KB5070887
Bagi lingkungan yang belum dapat menerapkan patch segera, Microsoft juga menyediakan langkah mitigasi sementara, termasuk menonaktifkan peran WSUS Server pada sistem yang rentan untuk menghilangkan vektor serangan.
Proof-of-concept (PoC) dan bukti eksploitasi
Pada akhir pekan, perusahaan keamanan HawkTrace Security merilis kode PoC untuk CVE-2025-59287; PoC tersebut tidak memungkinkan eksekusi perintah arbitrer penuh, namun keberadaannya meningkatkan risiko karena memperlihatkan metode serangan yang dapat dikembangkan lebih lanjut. Selanjutnya, perusahaan keamanan Eye Security melaporkan deteksi pemindaian dan percobaan eksploitasi yang dilakukan pada 24 Oktober 2025, termasuk kasus kompromi menggunakan eksploit berbeda dari PoC yang dirilis publik.
Huntress, perusahaan keamanan lainnya, mencatat percobaan eksploitasi terhadap instance WSUS yang mengekspos port default WSUS (8530/TCP dan 8531/TCP) sejak 23 Oktober, dan menemukan bukti bahwa penyerang menjalankan perintah PowerShell untuk mengumpulkan informasi rekognisi domain internal. Data yang diekstrak meliputi output perintah-perintah seperti whoami, net user /domain, dan ipconfig /all, yang kemudian dikirimkan ke webhook penyerang.
Skala paparan dan rekomendasi praktis
Meskipun WSUS umumnya tidak diekspos ke internet, pemindaian global mengidentifikasi sekitar 2.500 instance WSUS yang dapat diakses publik — termasuk ratusan di beberapa negara Eropa — sehingga menggarisbawahi risiko bagi organisasi yang tidak menutup akses administratif WSUS ke jaringan publik.
Rekomendasi penting untuk administrator TI:
- Segera terapkan pembaruan darurat Microsoft untuk versi Windows Server yang digunakan.
- Jika tidak memungkinkan langsung patch, nonaktifkan peran WSUS Server pada mesin yang berisiko atau batasi akses ke port 8530/8531 hanya untuk jaringan internal yang tepercaya.
- Periksa log dan indikator kompromi (mis. eksekusi PowerShell yang mencurigakan, koneksi keluar ke webhook/URL tidak dikenal) untuk mendeteksi aktivitas pasca-eksploitasi.
- Tutup akses publik ke layanan WSUS; pastikan port manajemen tidak dapat diakses dari internet.
- Lakukan pemindaian internal untuk menemukan WSUS yang terekspos dan lakukan hardening konfigurasi sesuai pedoman Microsoft.
Penilaian Microsoft dan otoritas keamanan
Microsoft telah mengklasifikasikan CVE-2025-59287 sebagai kondisi dengan kemungkinan eksploitasi yang meningkat, sehingga organisasi harus menganggap ancaman ini serius. Pusat Keamanan Siber nasional di beberapa negara juga telah mengeluarkan peringatan dan mendorong tindakan cepat mengingat adanya PoC publik dan bukti eksploitasi di lapangan.
Kesimpulan
CVE-2025-59287 menunjukkan bagaimana komponen infrastruktur pembaruan — yang idealnya meningkatkan keamanan — dapat menjadi titik kegagalan kritis apabila salah konfigurasi atau bila ditemukan kerentanan. Mengingat adanya exploit code publik dan bukti aktivitas penyerang, langkah paling aman adalah memasang patch segera dan menutup akses WSUS dari jaringan publik sampai lingkungan dipastikan aman.
Sumber: BleepingComputer
