“ช่องโหว่ CVE-2025-59287 ใน WSUS – แฮกเกอร์เจาะระบบด้วย Cookie ปลอม! เสี่ยง RCE ระดับ SYSTEM”
ช่องโหว่ใหม่ในระบบ Windows Server Update Services (WSUS) ของ Microsoft ถูกเปิดเผยในเดือนตุลาคม 2025 โดยนักวิจัยจาก HawkTrace ซึ่งระบุว่าเป็นช่องโหว่ระดับ “วิกฤต” รหัส CVE-2025-59287 ได้คะแนน CVSS สูงถึง 9.8 และมี PoC (proof-of-concept) เผยแพร่แล้ว
ช่องโหว่นี้เกิดจากการที่ WSUS ใช้ฟังก์ชัน BinaryFormatter.Deserialize() เพื่อถอดรหัสข้อมูลใน AuthorizationCookie โดยไม่มีการตรวจสอบประเภทของ object ที่ถูก deserialize ซึ่งเปิดช่องให้แฮกเกอร์สามารถส่ง cookie ปลอมที่มี payload อันตรายเข้ามาได้
เมื่อ WSUS server ได้รับ cookie ปลอมจาก SOAP request ไปยัง endpoint GetCookie() มันจะถอดรหัสข้อมูลด้วย AES-128-CBC แล้วส่งต่อไปยัง BinaryFormatter.Deserialize() โดยตรง ซึ่งทำให้เกิด Remote Code Execution (RCE) ด้วยสิทธิ์ SYSTEM ได้ทันที โดยไม่ต้องมีการยืนยันตัวตน
ช่องโหว่นี้ส่งผลกระทบต่อ Windows Server ทุกเวอร์ชันตั้งแต่ 2012 ถึง 2025 รวมถึง Server Core editions และอาจนำไปสู่การโจมตีแบบ supply chain หาก WSUS ถูกใช้เพื่อแจกจ่ายอัปเดตให้เครื่องลูกข่ายจำนวนมาก
Microsoft ได้ออกแพตช์ใน October 2025 Patch Tuesday เพื่อแก้ไขช่องโหว่นี้แล้ว และแนะนำให้องค์กรรีบอัปเดตทันที เพราะ WSUS เป็นระบบที่มีสิทธิ์สูงและเชื่อมต่อกับเครื่องลูกข่ายจำนวนมาก หากถูกเจาะ อาจนำไปสู่การควบคุมระบบทั้งหมด
รายละเอียดช่องโหว่ CVE-2025-59287
เกิดจาก unsafe deserialization ใน AuthorizationCookie
ใช้ฟังก์ชัน BinaryFormatter.Deserialize() โดยไม่ตรวจสอบ type
ถอดรหัส cookie ด้วย AES-128-CBC แล้ว deserialize โดยตรง
เปิดให้เกิด Remote Code Execution ด้วยสิทธิ์ SYSTEM
ได้คะแนน CVSS สูงถึง 9.8
พฤติกรรมการโจมตี
ส่ง SOAP request ไปยัง endpoint GetCookie()
ใช้ cookie ปลอมที่มี payload อันตราย
WSUS server ถอดรหัสแล้วรัน payload โดยไม่ตรวจสอบ
สามารถ bypass authentication ได้
PoC exploit ถูกเผยแพร่บน GitHub แล้ว
การตอบสนองจาก Microsoft
ออกแพตช์ใน October 2025 Patch Tuesday
แก้ไขการใช้ BinaryFormatter และเพิ่มการตรวจสอบ type
แนะนำให้อัปเดต WSUS server ทันที
เตือนว่า WSUS เป็นระบบที่มีสิทธิ์สูงและเสี่ยงต่อ supply chain attack
ขอบเขตผลกระทบ
ส่งผลต่อ Windows Server 2012 ถึง 2025 ทุก edition
รวมถึง Server Core installation
อาจนำไปสู่การควบคุมเครื่องลูกข่ายทั้งหมด
เป็นเป้าหมายสำคัญของแฮกเกอร์ระดับองค์กร
https://securityonline.info/critical-wsus-flaw-cve-2025-59287-cvss-9-8-allows-unauthenticated-rce-via-unsafe-cookie-deserialization-poc-available/
ช่องโหว่ใหม่ในระบบ Windows Server Update Services (WSUS) ของ Microsoft ถูกเปิดเผยในเดือนตุลาคม 2025 โดยนักวิจัยจาก HawkTrace ซึ่งระบุว่าเป็นช่องโหว่ระดับ “วิกฤต” รหัส CVE-2025-59287 ได้คะแนน CVSS สูงถึง 9.8 และมี PoC (proof-of-concept) เผยแพร่แล้ว
ช่องโหว่นี้เกิดจากการที่ WSUS ใช้ฟังก์ชัน BinaryFormatter.Deserialize() เพื่อถอดรหัสข้อมูลใน AuthorizationCookie โดยไม่มีการตรวจสอบประเภทของ object ที่ถูก deserialize ซึ่งเปิดช่องให้แฮกเกอร์สามารถส่ง cookie ปลอมที่มี payload อันตรายเข้ามาได้
เมื่อ WSUS server ได้รับ cookie ปลอมจาก SOAP request ไปยัง endpoint GetCookie() มันจะถอดรหัสข้อมูลด้วย AES-128-CBC แล้วส่งต่อไปยัง BinaryFormatter.Deserialize() โดยตรง ซึ่งทำให้เกิด Remote Code Execution (RCE) ด้วยสิทธิ์ SYSTEM ได้ทันที โดยไม่ต้องมีการยืนยันตัวตน
ช่องโหว่นี้ส่งผลกระทบต่อ Windows Server ทุกเวอร์ชันตั้งแต่ 2012 ถึง 2025 รวมถึง Server Core editions และอาจนำไปสู่การโจมตีแบบ supply chain หาก WSUS ถูกใช้เพื่อแจกจ่ายอัปเดตให้เครื่องลูกข่ายจำนวนมาก
Microsoft ได้ออกแพตช์ใน October 2025 Patch Tuesday เพื่อแก้ไขช่องโหว่นี้แล้ว และแนะนำให้องค์กรรีบอัปเดตทันที เพราะ WSUS เป็นระบบที่มีสิทธิ์สูงและเชื่อมต่อกับเครื่องลูกข่ายจำนวนมาก หากถูกเจาะ อาจนำไปสู่การควบคุมระบบทั้งหมด
รายละเอียดช่องโหว่ CVE-2025-59287
เกิดจาก unsafe deserialization ใน AuthorizationCookie
ใช้ฟังก์ชัน BinaryFormatter.Deserialize() โดยไม่ตรวจสอบ type
ถอดรหัส cookie ด้วย AES-128-CBC แล้ว deserialize โดยตรง
เปิดให้เกิด Remote Code Execution ด้วยสิทธิ์ SYSTEM
ได้คะแนน CVSS สูงถึง 9.8
พฤติกรรมการโจมตี
ส่ง SOAP request ไปยัง endpoint GetCookie()
ใช้ cookie ปลอมที่มี payload อันตราย
WSUS server ถอดรหัสแล้วรัน payload โดยไม่ตรวจสอบ
สามารถ bypass authentication ได้
PoC exploit ถูกเผยแพร่บน GitHub แล้ว
การตอบสนองจาก Microsoft
ออกแพตช์ใน October 2025 Patch Tuesday
แก้ไขการใช้ BinaryFormatter และเพิ่มการตรวจสอบ type
แนะนำให้อัปเดต WSUS server ทันที
เตือนว่า WSUS เป็นระบบที่มีสิทธิ์สูงและเสี่ยงต่อ supply chain attack
ขอบเขตผลกระทบ
ส่งผลต่อ Windows Server 2012 ถึง 2025 ทุก edition
รวมถึง Server Core installation
อาจนำไปสู่การควบคุมเครื่องลูกข่ายทั้งหมด
เป็นเป้าหมายสำคัญของแฮกเกอร์ระดับองค์กร
https://securityonline.info/critical-wsus-flaw-cve-2025-59287-cvss-9-8-allows-unauthenticated-rce-via-unsafe-cookie-deserialization-poc-available/
🛠️ “ช่องโหว่ CVE-2025-59287 ใน WSUS – แฮกเกอร์เจาะระบบด้วย Cookie ปลอม! เสี่ยง RCE ระดับ SYSTEM”
ช่องโหว่ใหม่ในระบบ Windows Server Update Services (WSUS) ของ Microsoft ถูกเปิดเผยในเดือนตุลาคม 2025 โดยนักวิจัยจาก HawkTrace ซึ่งระบุว่าเป็นช่องโหว่ระดับ “วิกฤต” รหัส CVE-2025-59287 ได้คะแนน CVSS สูงถึง 9.8 และมี PoC (proof-of-concept) เผยแพร่แล้ว
ช่องโหว่นี้เกิดจากการที่ WSUS ใช้ฟังก์ชัน BinaryFormatter.Deserialize() เพื่อถอดรหัสข้อมูลใน AuthorizationCookie โดยไม่มีการตรวจสอบประเภทของ object ที่ถูก deserialize ซึ่งเปิดช่องให้แฮกเกอร์สามารถส่ง cookie ปลอมที่มี payload อันตรายเข้ามาได้
เมื่อ WSUS server ได้รับ cookie ปลอมจาก SOAP request ไปยัง endpoint GetCookie() มันจะถอดรหัสข้อมูลด้วย AES-128-CBC แล้วส่งต่อไปยัง BinaryFormatter.Deserialize() โดยตรง ซึ่งทำให้เกิด Remote Code Execution (RCE) ด้วยสิทธิ์ SYSTEM ได้ทันที โดยไม่ต้องมีการยืนยันตัวตน
ช่องโหว่นี้ส่งผลกระทบต่อ Windows Server ทุกเวอร์ชันตั้งแต่ 2012 ถึง 2025 รวมถึง Server Core editions และอาจนำไปสู่การโจมตีแบบ supply chain หาก WSUS ถูกใช้เพื่อแจกจ่ายอัปเดตให้เครื่องลูกข่ายจำนวนมาก
Microsoft ได้ออกแพตช์ใน October 2025 Patch Tuesday เพื่อแก้ไขช่องโหว่นี้แล้ว และแนะนำให้องค์กรรีบอัปเดตทันที เพราะ WSUS เป็นระบบที่มีสิทธิ์สูงและเชื่อมต่อกับเครื่องลูกข่ายจำนวนมาก หากถูกเจาะ อาจนำไปสู่การควบคุมระบบทั้งหมด
✅ รายละเอียดช่องโหว่ CVE-2025-59287
➡️ เกิดจาก unsafe deserialization ใน AuthorizationCookie
➡️ ใช้ฟังก์ชัน BinaryFormatter.Deserialize() โดยไม่ตรวจสอบ type
➡️ ถอดรหัส cookie ด้วย AES-128-CBC แล้ว deserialize โดยตรง
➡️ เปิดให้เกิด Remote Code Execution ด้วยสิทธิ์ SYSTEM
➡️ ได้คะแนน CVSS สูงถึง 9.8
✅ พฤติกรรมการโจมตี
➡️ ส่ง SOAP request ไปยัง endpoint GetCookie()
➡️ ใช้ cookie ปลอมที่มี payload อันตราย
➡️ WSUS server ถอดรหัสแล้วรัน payload โดยไม่ตรวจสอบ
➡️ สามารถ bypass authentication ได้
➡️ PoC exploit ถูกเผยแพร่บน GitHub แล้ว
✅ การตอบสนองจาก Microsoft
➡️ ออกแพตช์ใน October 2025 Patch Tuesday
➡️ แก้ไขการใช้ BinaryFormatter และเพิ่มการตรวจสอบ type
➡️ แนะนำให้อัปเดต WSUS server ทันที
➡️ เตือนว่า WSUS เป็นระบบที่มีสิทธิ์สูงและเสี่ยงต่อ supply chain attack
✅ ขอบเขตผลกระทบ
➡️ ส่งผลต่อ Windows Server 2012 ถึง 2025 ทุก edition
➡️ รวมถึง Server Core installation
➡️ อาจนำไปสู่การควบคุมเครื่องลูกข่ายทั้งหมด
➡️ เป็นเป้าหมายสำคัญของแฮกเกอร์ระดับองค์กร
https://securityonline.info/critical-wsus-flaw-cve-2025-59287-cvss-9-8-allows-unauthenticated-rce-via-unsafe-cookie-deserialization-poc-available/
0 ความคิดเห็น
0 การแบ่งปัน
50 มุมมอง
0 รีวิว
English