Publié le 24 octobre 2025. Microsoft a déployé une mise à jour critique pour corriger une faille majeure dans son service de mise à jour (WSUS), déjà activement exploitée par des attaquants pour potentiellement propager des logiciels malveillants.
- Une vulnérabilité d’exécution de code à distance (CVE-2025-59287) dans Windows Server Update Services (WSUS) a été corrigée par une mise à jour d’urgence de Microsoft.
- Cette faille, qualifiée de critique, permettrait à des pirates de prendre le contrôle de serveurs WSUS pour distribuer des mises à jour infectées.
- Un code d’exploitation public et des rapports d’attaques « dans la nature » ont accéléré la publication de ce correctif hors bande.
Le service Windows Server Update Services (WSUS) est un outil essentiel pour les organisations gérant les mises à jour Microsoft sur un parc informatique. Il centralise le téléchargement et la distribution des correctifs, évitant ainsi que chaque poste ne sollicite directement les serveurs de l’éditeur. La vulnérabilité CVE-2025-59287, liée à une désérialisation de données non fiables, permettrait à un attaquant d’exécuter du code arbitraire sur un serveur WSUS via un événement spécialement conçu, sans aucune interaction utilisateur. Microsoft précise que cette faille n’affecte que les systèmes Windows Server sur lesquels le rôle WSUS est explicitement activé, ce qui n’est pas le cas par défaut.
Initialement corrigée lors de la « Patch Tuesday » d’octobre 2025, la gravité de la situation a nécessité une intervention supplémentaire. Dustin Childs, responsable de la sensibilisation aux menaces chez Trend Micro Zero Day Initiative, avait d’ailleurs fortement recommandé aux administrateurs une application rapide du premier correctif, la vulnérabilité étant « vermifuge » entre les serveurs WSUS et ces derniers constituant une cible attrayante. L’exploitation de CVE-2025-59287 depuis Internet serait théoriquement impossible si le réseau est correctement configuré avec un pare-feu protégeant les serveurs WSUS. Cependant, comme le souligne l’Office fédéral allemand pour la sécurité de l’information (BSI), si un attaquant a déjà pénétré le réseau interne ou si le pare-feu est mal configuré, la faille peut être utilisée pour obtenir le contrôle total du serveur WSUS et étendre son emprise à d’autres services.
L’urgence de l’installation de ce correctif a été accentuée par la publication plus tôt cette semaine d’une analyse technique et d’un code de preuve de concept (PoC) par un chercheur en sécurité. Parallèlement, le Centre national néerlandais de cybersécurité a alerté le 24 octobre 2025 avoir eu connaissance, par un partenaire de confiance, d’un « abus de vulnérabilité constaté ».
Cette mise à jour hors bande est disponible pour toutes les versions de Windows Server prises en charge. Un redémarrage des systèmes sera nécessaire après son application. En cas d’impossibilité d’appliquer le correctif immédiatement, les administrateurs ont la possibilité de désactiver temporairement le rôle serveur WSUS. Une autre mesure consiste à rendre le service WSUS inopérant en bloquant le trafic entrant sur les ports 8530 et 8531 au niveau du pare-feu hôte, bien que cela implique l’interruption de la distribution des mises à jour aux postes clients. Microsoft précise qu’il s’agit d’une mise à jour cumulative qui remplace toutes les mises à jour précédentes pour les versions concernées. Si la mise à jour de sécurité d’octobre 2025 n’a pas encore été installée, il est recommandé d’appliquer cette nouvelle mise à jour hors bande à la place.