A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e a Agência de Segurança Nacional (NSA) emitiram um alerta urgente direcionado a administradores de sistemas em todo o mundo. As agências confirmaram a exploração ativa da vulnerabilidade crítica CVE-2025-59287 no Windows Server Update Services (WSUS), uma das peças centrais na infraestrutura de atualização de servidores Windows.
Além disso, as agências também divulgaram novas diretrizes de segurança para o Microsoft Exchange local, visando conter o avanço de ataques recentes que exploram falhas de configuração e sistemas desatualizados.
A CVE-2025-59287, classificada como falha crítica de execução remota de código (RCE), já está sendo usada por cibercriminosos para exfiltrar dados sensíveis e obter controle total de servidores WSUS, com impactos graves sobre ambientes corporativos híbridos e redes governamentais.
O que diz o novo guia da CISA para o Microsoft Exchange
A CISA reforça que servidores Microsoft Exchange locais continuam sendo um dos principais alvos de ataques cibernéticos — especialmente aqueles que permanecem sem patches recentes, mal configurados ou expostos à internet.
O novo guia da agência traz um conjunto de recomendações essenciais para reduzir a superfície de ataque:
- Migrar servidores em fim de vida útil para o Microsoft 365, sempre que possível, para aproveitar a proteção automatizada baseada em nuvem.
- Adotar o modelo de segurança Zero Trust (ZT), reduzindo a dependência de perímetros tradicionais.
- Restringir acessos administrativos, especialmente aos consoles EAC e PowerShell remoto, que frequentemente são usados como porta de entrada em campanhas de ataque.
- Impor autenticação multifatorial (MFA) obrigatória para todas as contas administrativas e de serviço.
- Reforçar a criptografia, priorizando TLS 1.3, HSTS e Kerberos, e eliminando o uso de NTLM, considerado inseguro e amplamente explorado.
Essas medidas fazem parte de um plano preventivo mais amplo para mitigar vulnerabilidades conhecidas no Microsoft Exchange, frequentemente exploradas por grupos de espionagem patrocinados por estados.
O perigo maior: CVE-2025-59287 no WSUS
O Windows Server Update Services (WSUS) é um componente crítico usado para gerenciar e distribuir atualizações da Microsoft em ambientes corporativos. Por isso, uma falha nesse serviço tem potencial catastrófico.
A CVE-2025-59287 foi identificada como uma vulnerabilidade crítica de execução remota de código (RCE). Na prática, isso significa que um atacante pode executar comandos maliciosos com privilégios de sistema em servidores WSUS, obtendo controle total do ambiente de atualização.
Segundo a CISA, o comprometimento de um servidor WSUS pode permitir ataques de movimento lateral, distribuição de malware disfarçado de atualização legítima e acesso persistente à rede corporativa.
A Microsoft já lançou uma atualização de segurança fora de banda (Out-of-Band) para corrigir a falha — um indicativo de que o risco é alto e o ataque já está em curso.
Ataque em andamento: O que os hackers estão fazendo
De acordo com análises da Sophos e da Huntress Labs, agentes maliciosos começaram a explorar a CVE-2025-59287 apenas 24 horas após sua divulgação pública.
Relatos iniciais
Pesquisadores da Sophos identificaram amostras de scripts PowerShell ofuscados em Base64 usados para exfiltrar dados confidenciais para domínios externos, como webhook[.]site e servidores controlados por atacantes.
As investigações indicam que o vetor inicial envolve solicitações HTTP manipuladas enviadas ao IIS que hospeda o WSUS, explorando permissões incorretas e chamadas API internas vulneráveis.
Setores afetados
A Huntress reportou dezenas de vítimas em setores de tecnologia, saúde e universidades, com destaque para ambientes híbridos Windows/Linux onde o WSUS é usado como ponto central de atualização.
O vetor alternativo identificado pela Splunk
Um segundo vetor de ataque foi identificado por Michael Haag, da equipe de pesquisa da Splunk. Ele descobriu uma cadeia de ataque alternativa que explora o Console de Gerenciamento da Microsoft (mmc.exe). Nesse caso, o simples ato de abrir o console WSUS por um administrador pode acionar a execução remota de código malicioso já implantado.
Essa técnica agrava o risco, pois dispensa interação direta com scripts e pode ser usada para movimentação lateral sigilosa dentro da rede.
Ações imediatas: Como se proteger agora
As agências CISA e NSA classificaram a resposta à CVE-2025-59287 como prioridade zero para todas as organizações que utilizam WSUS.
1. Aplicar imediatamente o patch fora de banda
A Microsoft já liberou uma atualização de segurança fora do ciclo do Patch Tuesday. Administradores devem baixar e aplicar o patch imediatamente em todos os servidores WSUS.
2. Monitorar sinais de comprometimento
A CISA recomenda a adoção de medidas proativas de Threat Hunting para detectar indícios de ataque ativo:
- Monitorar processos filhos iniciados por wsusservice.exe e w3wp.exe com permissões de nível de SISTEMA.
- Analisar logs em busca de comandos PowerShell aninhados ou codificados em Base64.
- Inspecionar o arquivo SoftwareDistribution.log para rastrear execuções suspeitas e erros de pilha incomuns, especialmente aqueles correspondentes às técnicas descritas pela Huntress e pela Splunk.
3. Revisar a segurança do Exchange
Aproveite a ocasião para aplicar as recomendações de hardening no Microsoft Exchange, conforme descrito pela CISA, garantindo MFA, TLS e restrição de acesso administrativo.
Conclusão: Por que isso importa para todos
A exploração ativa da CVE-2025-59287 representa uma das ameaças mais críticas do ano para infraestruturas corporativas baseadas em Windows. Um servidor WSUS comprometido fornece aos invasores um canal de confiança privilegiado para inserir malware nas atualizações distribuídas em toda a rede.
Além disso, por ser um componente central em ambientes híbridos, o impacto pode atingir também servidores Linux e sistemas integrados, ampliando o raio de comprometimento.
A ação imediata é indispensável:
- Aplique o patch fora de banda da Microsoft agora.
- Revise suas políticas de segurança do Exchange.
- Inicie uma investigação de comprometimento.
A negligência diante desse alerta pode resultar em perda de dados, interrupção operacional e comprometimento total da infraestrutura corporativa.
