Microsoft ออกอัปเดตความปลอดภัยแบบนอกกำหนดปกติหรือ Out-of-band Update เพื่อแก้ไขช่องโหว่รุนแรง CVE-2025-59287 ใน Windows Server Update Service (WSUS) ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่อนุญาตให้แฮ็กเกอร์รันโค้ดอันตรายจากระยะไกลโดยไม่ต้องมีสิทธิ์การเข้าใช้งานหรือการโต้ตอบจากผู้ใช้ ช่องโหว่นี้มีความเสี่ยงสูงเพราะทำได้ง่ายและอาจแพร่กระจายแบบ wormable ระหว่างเซิร์ฟเวอร์ WSUS ที่เชื่อมต่อกัน
ล่าสุดมีโค้ดสาธิตการโจมตีหรือ Proof-of-Concept (PoC) ถูกเผยแพร่สู่สาธารณะ ทำให้สถานการณ์ยิ่งรุนแรงขึ้น โดย CISA ได้เพิ่ม CVE-2025-59287 เข้าสู่รายการ Known Exploited Vulnerabilities (KEV) Catalog แล้ว และมีรายงานการโจมตีจริงจากหน่วยงานอย่าง Dutch NCSC ที่พบการใช้งานช่องโหว่ในวันที่ 24 ตุลาคม 2025 ผู้ดูแลระบบจึงควรรีบติดตั้งแพตช์เพื่อป้องกันการถูกบุกรุก
ช่องโหว่นี้กระทบเฉพาะ Windows Server ที่เปิดใช้งาน WSUS Server Role เท่านั้น หากไม่ได้เปิดใช้งานฟังก์ชันนี้เซิร์ฟเวอร์จะปลอดภัย แต่ถ้าเปิดใช้งานก่อนติดตั้งแพตช์ ระบบจะเข้าสู่ความเสี่ยงทันที โดย Microsoft ยืนยันว่าแพตช์ล่าสุดนี้เป็นการแก้ไขที่ครอบคลุมมากกว่าอัปเดตก่อนหน้าใน Patch Tuesday เดือนตุลาคม
สาเหตุหลักมาจากการ deserialize อ็อบเจ็กต์ที่ไม่ปลอดภัยในกลไกเก่าของ WSUS ซึ่งเปิดช่องให้ผู้โจมตีส่ง event ที่ถูกออกแบบมาเป็นพิเศษเพื่อรันโค้ดในสิทธิ์ระดับ SYSTEM โดยตรง ส่งผลให้สามารถยึดควบคุมเซิร์ฟเวอร์ได้เต็มรูปแบบและอาจนำไปสู่การแจกจ่ายอัปเดตอันตรายหรือบุกรุกเครือข่ายภายในองค์กร
Microsoft ปล่อยแพตช์ cumulative สำหรับหลายรุ่นของ Windows Server ได้แก่ Windows Server 2025 (KB5070881), Windows Server version 23H2 (KB5070879), Windows Server 2022 (KB5070884), Windows Server 2019 (KB5070883), Windows Server 2016 (KB5070882), Windows Server 2012 R2 (KB5070886) และ Windows Server 2012 (KB5070887) แพตช์เหล่านี้ครอบคลุมการอัปเดตก่อนหน้าแล้ว และต้องรีบูตระบบหลังติดตั้งเพื่อให้การป้องกันมีผลเต็มที่
สำหรับผู้ที่ติดตั้งแพตช์ไม่ได้ทันที Microsoft แนะนำมาตรการชั่วคราว เช่น ปิดการใช้งาน WSUS Server Role หรือบล็อกทราฟฟิกขาเข้าที่พอร์ต 8530 และ 8531 ด้วยไฟร์วอลล์ เพื่อหยุดยั้งการโจมตีชั่วคราว แม้จะทำให้ระบบไม่สามารถแจกจ่ายอัปเดตผ่าน WSUS ได้ นอกจากนี้หลังอัปเดต WSUS จะไม่แสดงรายละเอียด error ของการ sync ชั่วคราว เพื่อป้องกันช่องโหว่เพิ่มเติม
