WSUS-sebezhetőség egyszerű kihasználása
A JSAC 2026 konferencián bemutatott Unraveling the WSUS Exploit Chain című előadás bemutatja egy valós eseményt, ahol egy Microsoft Windows Server Update Services (WSUS) kiszolgálón talált súlyos sebezhetőséget (CVE-2025-59287) egy támadó probléma nélkül ki tudta használni, és így egy incidenskezelő eszközt, a Velociraptortral is vissza tudott élni a saját céljaira. A szerzők Shohei Iwata és Teruki Yoshikawa (NTT Security Japan) részletes idővonalat és bizonyítékot mutatnak be arról, hogyan fedezték fel az incidens teljes láncát.
A vizsgálat során egy Windows szerveren észlelt gyanús telepítési parancssor (például msiexec /q /i … v3.msi) indította el a riasztásokat, és hamar kiderült, hogy a háttérben a WSUS-kiszerver hibáján keresztül valaki távolról RCE-t hajtott végre, majd egy Velociraptor telepítő-csomagot húzott le egy támadó vezérlőszerverről, és futtatott is azt. A Velociraptor egy eredetileg digitális incidens-vizsgálati (DFIR) eszköz, de a támadók visszaélték mint remote management komponenssel, ezzel széleskörű hozzáférést szerezve a rendszerhez.
A kezdeti behatolást ugyan a sebezhetőség tette lehetővé, de a sikeres kihasználás nem váltott ki automatikus riasztást a biztonsági rendszerekben, mert a parancsok egy látszólag normál telepítési folyamatként jelentek meg, és a valódi inicializálódás csak ezt követően következett be a háttérben. Ezért a vizsgálat az alert-ok és a hálózati események korrelációja is fontos, amely végül megerősítette az RCE-t és a kapcsolódó utólagos rosszindulatú tevékenységeket.
A rendelkezésre álló jelek egy korábban dokumentált, Kínai háttérrel rendelkező, anyagi haszonszerzés célú szereplőt, a Storm-2603 / GOLD SALEM / DragonClover jelölnek meg. A támadó infrastuktúrája több, egymást követő kiszolgálón és domainen keresztül működött, és a Velociraptor-klienseket egyetlen telepítési kampányban folyamatosan frissítette, ami arra utal, hogy nem egy egyszeri kompromittálásról, hanem folyamatos kihasználásról volt szó.
