Alerte - AL25-015 - Vulnérabilité touchant les services WSUS de Microsoft - CVE-2025-59287

Numéro : AL25-015
Date : 24 octobre 2025

Auditoire

La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 24 octobre 2025, Microsoft a publié une mise à jour de sécurité hors bande visant à corriger une vulnérabilité critique dans les services WSUS^{Note de bas de page 1}.

La vulnérabilité CVE-2025-59287 concerne la désérialisation des données non fiables dans des services WSUS, ce qui permet à des attaquantes ou attaquants non autorisés d’exécuter du code sur un réseau.

Le rôle serveur WSUS n’est pas activé par défaut sur les serveurs Windows. Les serveurs Windows qui n’ont pas ce rôle d’activé ne sont pas vulnérables. En réponse à la publication de Microsoft, le Centre pour la cybersécurité a publié une mise à jour du bulletin AV25-666 le 24 octobre 2025 ^{Footnote 2}.

Le Centre pour la cybersécurité est au courant d’une exploitation active^{Note de bas de page 3}

Mesures recommandées

Le Centre pour la cybersécurité recommande fortement aux organisations de suivre les conseils d’atténuation qu’a publiés Microsoft à l’intention de sa clientèle :

• Appliquez la mise à jour recommandée. Si cela n’est pas possible, veuillez appliquer les mesures d’atténuation suivantes :
• Si le rôle serveur WSUS est activé sur votre serveur, désactivez-le. Veuillez noter que la clientèle ne recevra plus de mises à jour du serveur si les services WSUS sont désactivés.
• Bloquez le trafic entrant vers les ports 8530 et 8531 sur le pare-feu hôte (plutôt que de bloquer seulement au niveau du pare-feu périmétrique/réseau) afin de rendre les services WSUS non opérationnels.

Microsoft ajoute que cette mise à jour est cumulative, alors les organisations n’ont pas besoin d’appliquer de mises à jour antérieures avant de l’installer, puisque cette mise à jour remplace toutes les mises à jour antérieures pour les versions touchées. Selon Microsoft, si la mise à jour de sécurité de Windows d’octobre 2025 n’a pas été appliquée, cette mise à jour hors bande doit être appliquée. Après l’installation, un redémarrage est requis.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TI du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants^{Note de bas de page 4}.

• Appliquer des correctifs aux applications et aux systèmes d’exploitation.
• Isoler les applications Web.

Si les destinataires relèvent des activités semblables à l’information fournie dans la présente alerte, on les invite à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.