根據 BleepingComputer 報導，駭客現正積極利用 Windows Server 更新服務（WSUS）中的一項關鍵漏洞，對企業環境發動攻擊。該漏洞允許未授權的攻擊者在未驗證的情況下注入惡意更新，對 Windows 系統造成全面性威脅。

漏洞概述與攻擊方式

• 漏洞編號： CVE-2024-30080
• 影響範圍： Windows Server 2012 至 2022 所部署的 WSUS 環境
• 漏洞類型： 權限繞過與更新偽造
• 攻擊方式：
  • 攻擊者可在未經驗證的情況下，透過 WSUS 發布惡意更新。
  • 這些更新可能包含後門程式、勒索軟體或遠端控制工具。
  • 一旦部署，受害端點將自動安裝，導致系統遭入侵。

研究人員指出，該漏洞源於 WSUS 在處理更新簽章與授權驗證時的邏輯缺陷，使攻擊者能繞過安全檢查，偽造更新來源。

攻擊活動現況

• 攻擊者已開始利用此漏洞進行實際攻擊，目標鎖定企業內部部署的 WSUS 系統。
• 攻擊模式多樣化，包含：
  • 偽裝為合法更新推送惡意程式
  • 利用 WSUS 作為橫向移動跳板
  • 植入持久性後門以便後續滲透

根據報導，部分攻擊活動已被 Microsoft Threat Intelligence 團隊偵測並通報，顯示該漏洞正被活躍利用中。

範與修補建議

Microsoft 已於 2025 年 10 月的 Patch Tuesday 發布修補程式，企業應立即採取以下措施：

1. 立即更新 WSUS 系統
   • 安裝 KB5031356 或相關累積更新
   • 確保 WSUS 伺服器與端點皆已套用修補
2. 檢查 WSUS 更新來源與簽章驗證機制
   • 禁止未授權的第三方更新來源
   • 啟用更新簽章驗證與完整性檢查
3. 監控 WSUS 活動日誌
   • 偵測異常更新行為與未授權推送
   • 整合 SIEM 平台進行行為分析
4. 強化網路分段與 WSUS 存取控制
   • 限制 WSUS 管理介面存取權限
   • 將 WSUS 伺服器隔離於高權限網段之外

此漏洞再次凸顯企業內部更新機制的資安風險。
WSUS 雖為企業維護 Windows 系統的重要工具，但若未妥善控管，反而可能成為攻擊者滲透的管道。建議資安團隊立即盤點 WSUS 部署情況，套用修補並強化更新驗證流程，以防止惡意更新造成系統全面淪陷。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-windows-server-wsus-flaw-in-attacks/