CVE-2025-59287 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WSUS 组件存在**不安全反序列化**漏洞。 💥 **后果**：攻击者可远程执行代码，直接**接管服务器**（SYSTEM权限）。

🔍 **CWE-502**：反序列化不受信任数据。 ⚠️ **缺陷点**：`GetCookie()` 端点解密 `AuthorizationCookie` 后，使用 `BinaryFormatter` 反序列化，**未验证类型**。

🖥️ **厂商**：Microsoft。 📦 **产品**：**Windows Server 2012**。 🔧 **组件**：**WSUS** (Windows Server Update Services)。

👑 **权限**：获取 **SYSTEM** 最高权限。 💾 **数据**：可执行任意命令，完全控制服务器，可能导致内网横向移动。

📶 **门槛低**：网络可达即可。 🔓 **无需认证**：利用描述明确标注 **Unauthenticated**（未授权），无需登录即可发起攻击。

🔥 **有现成Exp**：GitHub 多个 PoC 开源。 📂 **工具**：`CVE-2025-59287-hawktrace`、`WSUSploit.NET` 等，支持自动化载荷生成。

🔎 **扫描**：使用 Nuclei 模板 (`CVE-2025-59287.yaml`) 检测。 📝 **日志**：检查 IIS 日志中是否有对 `/ReportingWebService/` 或 `/SimpleAuthWebService/` 的异常 POST 请求。

🛡️ **官方**：MSRC 已发布安全公告。 📥 **补丁**：需访问 Microsoft Update Guide 获取最新安全更新（数据中未提供具体补丁ID，需去官网查）。

🚧 **临时规避**： 1. **隔离**：WSUS 服务器不直接暴露公网。 2. **WAF**：拦截对 WSUS 特定端点的恶意序列化数据。 3. **访问控制**：限制仅内网可信 IP 访问 WSUS 接口。

🔴 **优先级：极高**。 📈 **CVSS 9.8**：严重级别。 ⚡ **紧急**：无需认证即可 RCE，黑客利用门槛极低，建议**立即**打补丁或隔离。