A Microsoft lançou na quinta-feira (23/10) uma atualização emergencial para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS). Horas após a liberação do patch, pesquisadores já detectaram casos de exploração ativa da falha.

O WSUS é um componente essencial do sistema operacional Windows Server, utilizado por administradores de TI para gerenciar e distribuir centralmente atualizações e correções de produtos Microsoft em redes corporativas.

De acordo com o comunicado da empresa, a falha — identificada como CVE-2025-59287 — é uma vulnerabilidade de execução remota de código (RCE) que afeta as versões Windows Server 2012, 2016, 2019, 2022 e 2025. O problema permite que agentes mal-intencionados executem códigos arbitrários com privilégios de sistema, sem necessidade de autenticação prévia.

“Um invasor remoto e não autenticado pode enviar um evento especialmente criado que aciona uma desserialização insegura de objetos, resultando em execução remota de código”, explicou a Microsoft.

A falha foi detalhada em 18 de outubro pela empresa de segurança HawkTrace, que também publicou um exploit de prova de conceito (PoC) demonstrando a vulnerabilidade. Segundo a companhia, o código pode ser explorado para obter controle total sobre sistemas afetados.

Na sexta-feira (24), a Eye Security relatou ter identificado exploração ativa da CVE-2025-59287 em ambientes reais. Estimativas da empresa indicam que cerca de 2.500 instâncias de WSUS em todo o mundo continuam expostas. O Centro Nacional de Segurança Cibernética do governo holandês (NCSC-NL) também confirmou ter detectado atividades maliciosas explorando a vulnerabilidade.

Embora a função WSUS Server Role não esteja habilitada por padrão no Windows Server, administradores que utilizam o serviço devem aplicar imediatamente as atualizações disponibilizadas pela Microsoft. Como medida temporária, a desativação do WSUS pode mitigar o risco até a aplicação do patch definitivo.

A Microsoft classificou o caso como “exploração mais provável” em sua avaliação de risco, reforçando a urgência da correção para prevenir ataques direcionados.

Para saber mais, clique aqui.