{"id":1453,"date":"2025-10-28T09:39:30","date_gmt":"2025-10-28T08:39:30","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/faille-wsus-cve-2025-59287-comment-microsoft-sest-fait-pirater-par-le-code-quil-avait-banni\/"},"modified":"2025-10-28T09:39:30","modified_gmt":"2025-10-28T08:39:30","slug":"faille-wsus-cve-2025-59287-comment-microsoft-sest-fait-pirater-par-le-code-quil-avait-banni","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/faille-wsus-cve-2025-59287-comment-microsoft-sest-fait-pirater-par-le-code-quil-avait-banni\/","title":{"rendered":"Faille WSUS CVE-2025-59287 – Comment Microsoft s’est fait pirater par le code qu’il avait banni"},"content":{"rendered":"

Je vais vous raconter la meilleure de la semaine\u2026 Microsoft vient quand m\u00eame de passer 5 ans \u00e0 gueuler sur tous les toits que
\nBinaryFormatter<\/a>
\nest dangereux (\u00e7a servait \u00e0 s\u00e9rialiser\/des\u00e9rialiser des objets en binaire ave .NET) et qu\u2019il faut arr\u00eater de l\u2019utiliser\u2026 et pourtant, on vient d\u2019apprendre qu\u2019ils continuent secr\u00e8tement de l\u2019utiliser dans WSUS (Windows Server Update Services), leur syst\u00e8me cens\u00e9 s\u00e9curiser les mises \u00e0 jour Windows.<\/p>\n

Et bien s\u00fbr, ce qui devait arriver, arriva\u2026 Une magnifique faille critique dans WSUS vient d\u2019\u00eatre rendue publique, ce qui met en danger environ 500 000 serveurs WSUS actuellement accessibles via le net.<\/p>\n

L\u2019histoire commence en r\u00e9alit\u00e9 en 2020. A cette date, Microsoft d\u00e9clare officiellement que BinaryFormatter est dangereux, ce qui ne les emp\u00eache pas de se faire poutrer Exchange, Azure DevOps, SharePoint en 2021\/2021 justement \u00e0 cause de \u00e7a. Du coup, en 2023, ils annoncent le bannissement total de BinaryFormatter en interne. En 2024, ils effectuent m\u00eame une mise au rebus compl\u00e8te de .NET 9.<\/p>\n

Mais c\u2019\u00e9tait sans compter sur cette jolie CVE-2025-59287 d\u2019octobre 2025 qui exploite \u00e0 son tour BinaryFormatter dans WSUS !<\/p>\n

Un oubli ? Pas si s\u00fbr, car Microsoft l\u2019utilisait toujours pour d\u00e9chiffrer les cookies d\u2019authentification de WSUS, rendant ainsi ce syst\u00e8me de mises \u00e0 jour cens\u00e9 prot\u00e9ger Windows vuln\u00e9rable. La faille, c\u2019est donc une d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e. Un attaquant non authentifi\u00e9 envoie une requ\u00eate SOAP craft\u00e9e au endpoint GetCookie de WSUS, avec un cookie AuthorizationCookie contenant un payload malveillant. Et de son c\u00f4t\u00e9 le serveur d\u00e9chiffre ce truc avec AES-128-CBC, puis passe le r\u00e9sultat directement \u00e0 BinaryFormatter pour d\u00e9s\u00e9rialisation.<\/p>\n

Et l\u00e0, bim bam boum, une magnifique ex\u00e9cution de code arbitraire avec privil\u00e8ges SYSTEM !<\/p>\n

Techniquement, la vuln\u00e9rabilit\u00e9 touche donc les Windows Server 2012 \u00e0 2025 qui ont le r\u00f4le WSUS activ\u00e9. Le score CVSS de cette faille est quand m\u00eame de 9,8 sur 10 ce qui est fait une faille super critique.<\/p>\n

L\u2019exploitation de cette faille d\u00e9bute le 24 octobre soit juste apr\u00e8s la publication du patch d\u2019urgence de Microsoft sortie la veille c\u2019est \u00e0 dire le 23 octobre, pour corriger lui-m\u00eame un autre patch publi\u00e9 juste avant le 8 octobre. Bref un vrai bordel et il faut croire que les attaquants ont attendu la sortie de ce patch d\u2019urgence pour comprendre comment fonctionnait la faille (
\n l\u2019exploit est ici<\/a>
\n).<\/p>\n

De son c\u00f4t\u00e9, Google Threat Intelligence traque l\u2019acteur cybercriminel UNC6512<\/strong> qui a cibl\u00e9 plusieurs organisations et les chiffres font pas plaisir puisque ce sont environ 100 000 tentatives d\u2019exploitation en 7 jours qui ont eu lieues, et 500 000 serveurs WSUS expos\u00e9s sur le net sur les ports par d\u00e9faut (8530 HTTP, 8531 HTTPS).<\/p>\n

Microsoft a d\u00fb sentir la douille arriver puisqu\u2019ils ont d\u00e9pr\u00e9ci\u00e9 WSUS en septembre de l\u2019ann\u00e9e derni\u00e8re au profit d\u2019autres solutions comme Intune ou WUfb, soit un an avant la sortie de la CVE. Mais bien s\u00fbr, comme l\u2019outil reste dans Windows Server 2025 avec ses 10 ans de support r\u00e9glementaire, des centaines de milliers d\u2019entreprises l\u2019utilisent encore\u2026<\/p>\n

Le chaos \u00e9tait garanti ! Maintenant vous me connaissez, je n\u2019aime pas vous laisser sans solution, alors pour les admins sys qui lisent \u00e7a, sachez qu\u2019il existe un script PowerShell baptis\u00e9
\nFind-WSUS<\/a>
\nqui permet de d\u00e9tecter tous les serveurs WSUS configur\u00e9s dans vos GPO. C\u2019est pratique pour faire l\u2019inventaire et v\u00e9rifier que tout est patch\u00e9. Et notez aussi que le patch d\u2019urgence c\u2019est le KB5070883. Et si vous ne pouvez pas patcher imm\u00e9diatement parce que la vie est injuste, d\u00e9sactivez quand m\u00eame le r\u00f4le WSUS de vos Windows Server, ou bloquez les ports 8530\/8531 directement dans votre firewall.<\/p>\n

Le vrai probl\u00e8me en fait, c\u2019est que WSUS n\u2019est qu\u2019un sympt\u00f4me car une grosse partie du code en entreprise est constitu\u00e9 de dette technique. C\u2019est \u00e0 dire du code \u201cmort\u201d qui continue de tourner car personne n\u2019ose y toucher. Brrr\u2026 \u00e7a fait peur c\u2019et s\u00fbr ! Surtout que m\u00eame Microsoft n\u2019arrive pas \u00e0 tuer sa propre cr\u00e9ation 5 ans apr\u00e8s l\u2019annonce de sa mort officielle, donc autant dire qu\u2019on a tous un s\u00e9rieux probl\u00e8me.<\/p>\n

Bref, patchez au plus vite !<\/p>\n

\n Source<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"