来源

关联漏洞

描述

Module PowerShell de réponse à l'incident CVE-2025-59287 — WSUS Remote Code Execution (RCE)

介绍

# 🧰 WSUSResponder

**Version : 1.0.1**  
**Auteur : RZA / IT Operations**  
**Licence : [MIT](LICENSE)**  

---

## 🎯 Objectif

Le module **WSUSResponder** fournit un ensemble d’outils PowerShell pour **répondre rapidement à la vulnérabilité critique CVE-2025-59287**, une faille d’exécution de code à distance (RCE) affectant **Windows Server Update Services (WSUS)**.

Il permet de :

- 🔍 Scanner un parc Active Directory ou une liste de serveurs ciblés  
- 🧩 Identifier les serveurs WSUS vulnérables  
- 🛡️ Vérifier la présence des correctifs **Out-of-Band (OOB)** publiés par Microsoft  
- 🚧 Appliquer un **workaround pare-feu** (blocage ports 8530/8531)  
- ♻️ Retirer ce workaround une fois les serveurs patchés  
- 📊 Générer des rapports d’audit complets (CSV, JSON, XLSX)

---

## ⚙️ Prérequis

### Modules PowerShell nécessaires
| Module | Rôle | Installation |
|---------|------|--------------|
| **ActiveDirectory** | Découverte automatique des serveurs via AD | `Add-WindowsCapability -Online -Name 'Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0'` |
| **ImportExcel** | Génération des rapports Excel (.xlsx) | `Install-Module ImportExcel -Scope CurrentUser` |

### Environnement requis
- PowerShell **5.1+**  
- WinRM activé sur les serveurs cibles (`Enable-PSRemoting`)  
- Droits d’administrateur local sur les hôtes distants  

---

## 📦 Installation

1. Créez un dossier nommé `WSUSResponder` dans l’un de vos répertoires de modules PowerShell :  
   ```powershell
   $Path = "$env:USERPROFILE\Documents\WindowsPowerShell\Modules\WSUSResponder"
   New-Item -ItemType Directory -Path $Path -Force
Copiez les fichiers du module :

WSUSResponder.psm1

WSUSResponder.psd1

Importez le module :

powershell
Copier le code
Import-Module WSUSResponder
Get-Command -Module WSUSResponder
Vérifiez le chargement :

powershell
Copier le code
Get-Module WSUSResponder -ListAvailable
🧩 Fonctions exportées
Fonction	Description
Get-WSUSCveStatus	Scanne les serveurs pour détecter la présence du rôle WSUS et des correctifs OOB.
Set-WSUSCveWorkaround	Applique le contournement (règles pare-feu bloquant les ports 8530/8531).
Remove-WSUSCveWorkaround	Supprime les règles pare-feu créées par le workaround.
Export-WSUSCveReport	Exporte les résultats du scan dans plusieurs formats (CSV, JSON, XLSX, TXT).

🚀 Exemples d’utilisation
🔎 Audit complet du domaine AD
powershell
Copier le code
$ReportPath = "C:\Temp\WSUS_Audit_$(Get-Date -Format yyyyMMdd)"
Get-WSUSCveStatus -FromAD -UsePS7Parallel | Export-WSUSCveReport -ExportPath $ReportPath
🛡️ Scan + Application du Workaround
powershell
Copier le code
$scanResults = Get-WSUSCveStatus -FromAD -UsePS7Parallel
$vulnerable = $scanResults | Where-Object { $_.IsWSUS -and -not $_.IsPatched -and $_.Reachable }
$vulnerable | Set-WSUSCveWorkaround -PassThru
$scanResults | Export-WSUSCveReport -ExportPath "C:\Temp\WSUS_Mitig_$(Get-Date -Format yyyyMMdd)"
🔁 Suppression du Workaround après patching
powershell
Copier le code
Remove-WSUSCveWorkaround -ComputerName 'srv-wsus-01','srv-wsus-02'
📊 Rapports générés
Les rapports sont sauvegardés dans le dossier défini par -ExportPath :

Fichier	Format	Contenu
WSUS_CVE59287_Report.csv	CSV	Résultats complets du scan
WSUS_CVE59287_Report.json	JSON	Export structuré pour API/automatisation
WSUS_CVE59287_Report.xlsx	XLSX	Rapport formaté avec filtres automatiques
Vulnerable_Hosts.txt	TXT	Liste simple des hôtes vulnérables

🧱 Architecture technique
Utilisation de Invoke-Command et WinRM pour exécution distante

Parallélisme natif PS7 (ForEach-Object -Parallel) pour accélérer les pré-tests

Timeout configurable via -OperationTimeoutSec

Workaround idempotent (pas de duplication de règles)

Export multi-format automatisé (CSV, JSON, XLSX via ImportExcel)

🔐 Sécurité et Signature du module
Si votre politique d’exécution est AllSigned, vous pouvez signer le module :

powershell
Copier le code
New-SelfSignedCertificate -Type CodeSigning -Subject "CN=IT Operations" -CertStoreLocation Cert:\CurrentUser\My
$cert = Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert | Select-Object -First 1
Set-AuthenticodeSignature -FilePath "C:\Modules\WSUSResponder\WSUSResponder.psm1" -Certificate $cert
Set-AuthenticodeSignature -FilePath "C:\Modules\WSUSResponder\WSUSResponder.psd1" -Certificate $cert
🧾 Changelog
v1.0.1 – (27/10/2025)
Refactor complet en module PowerShell (.psm1 / .psd1)

Ajout du support parallèle PS7 (-UsePS7Parallel)

Nouveau moteur d’export (CSV, JSON, XLSX)

Correction de la gestion du timeout WinRM

Rollback idempotent des règles pare-feu

🧑‍💻 Auteurs
(RZA) — IT Operations

Contributeurs internes Sécurité Microsoft / DOT_SU_KIOSQUE_CENTER

📜 Licence
Distribué sous licence MIT.
© 2025 RZA / IT Operations – Tous droits réservés.

文件快照

 [4.0K]  /data/pocs/4da9f1ce77353aafeaaacb8eb5e6e9f4137dd7b5
├── [ 520]  CHANGELOG.md
├── [5.2K]  Documentation du module.txt
├── [1.1K]  LICENSE.txt
├── [4.9K]  README.md
├── [4.4K]  Use-WSUSResponder.ps1
├── [1.6K]  WSUSResponder.psd1
└── [ 22K]  WSUSResponder.psm1

0 directories, 7 files

备注