Résumé
Le 24 octobre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille critique dans Microsoft Windows Server Update Service (WSUS), le composant qui gère la distribution des mises à jour de Windows dans les entreprises.
Référencée sous CVE-2025-59287, cette vulnérabilité permet à un attaquant distant, même sans compte sur la machine, d’envoyer une requête piégée au serveur WSUS qui lui permet d’exécuter n’importe quelle commande sur le serveur (remote code execution), avec les droits système. En pratique, cela peut lui permettre de prendre le contrôle complet du serveur, voler ou effacer des données, et propager des virus ou des ransomwares sur le réseau d’entreprise.
La faille s’exploite par défaut sur les serveurs où le rôle WSUS est activé (généralement sur les ports 8530/8531). Elle est liée à un mécanisme technique appelé « désérialisation non sécurisée », exploité dans le cookie d’authentification du service WSUS.
Solutions
Il est recommandé de mettre à jour immédiatement Windows Server avec le correctif publié par Microsoft le 23 octobre 2025 : l’ancien patch n’était pas suffisant. Si possible, désactiver le rôle WSUS sur les serveurs qui n’en ont pas besoin.
La faille est activement exploitée : Oui (des attaques réelles ont été observées dès l’annonce de la vulnérabilité et des codes d’attaque sont disponibles publiquement).
Détails techniques
Score CVSS : 9.8 (critique)
EPSS : 9.02%
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Windows Server (versions avec le rôle WSUS activé) : 2012/2012R2, 2016, 2019, 2022, 2025
Documentation
- Bulletin de sécurité Microsoft
KB5070882 – Microsoft Update - Nist Details CVE
NVD CVE-2025-59287 - CVE Details
CVE Details - Reference CVE
CVE-2025-59287 - CWE
CWE-502