Microsoft ha anunciado una grave vulnerabilidad de ejecución remota de código en Internet Information Server (IIS), lo que representa un peligro para las organizaciones que dependen de servidores Windows para hosting web.

La vulnerabilidad, identificada como CVE-2025-59282, afecta a los objetos COM que gestionan la memoria global, debido a una condición de carrera y a un error de uso tras liberación. Anunciada el 14 de octubre de 2025, su puntuación base en CVSS 3.1 es de 7.0, siendo clasificada como «Importante» por Microsoft.

Aunque no se ha explotado activamente hasta ahora, los expertos en ciberseguridad advierten que su capacidad de permitir ejecución de código arbitrario podría habilitar a los atacantes a comprometer la integridad del servidor, robar información o redirigir a ataques de red más amplios.

La vulnerabilidad se origina durante la ejecución concurrente, donde los recursos compartidos carecen de una sincronización adecuada, lo que permite a un atacante no autorizado manipular los estados de la memoria. Según los detalles de la CVE, la explotación requiere acceso local, pero podría ser iniciada por un adversario remoto que engaña a un usuario para que abra un archivo malicioso. Una explotación exitosa podría permitir a los atacantes ejecutar código arbitrario con los privilegios del proceso IIS, que a menudo opera como SYSTEM en servidores mal configurados.

No se requieren privilegios, aunque la complejidad del ataque es alta, ya que exige superar una condición de carrera específica, lo que lo hace complicado, pero viable para atacantes con experiencia. Microsoft aclara que el término «remoto» en el título se refiere a la ubicación del atacante, no al sitio de ejecución, diferenciándolo de vulnerabilidades completamente remotas.

En resumen, CVE-2025-59282 aprovecha debilidades en CWE-362 (condición de carrera) y CWE-416 (uso tras liberación) en la gestión de objetos COM de IIS. Cuando un usuario interactúa con un archivo manipulado, como un documento o un script de formato específico, activa una gestión inapropiada de la memoria.

Esto provoca un escenario de uso tras liberación donde se accede a la memoria liberada de manera simultánea, permitiendo así la inyección de código.

Hasta ahora, no se ha publicado ningún código de prueba de concepto, pero los investigadores han notado similitudes con problemas de memoria anteriores en IIS, donde los atacantes podrían escalar su control a nivel de sistema. Las versiones afectadas incluyen todas las ediciones de Windows Server con IIS habilitado.

En entornos empresariales, esto puede exponer aplicaciones web, bases de datos o puntos finales API sensibles al ransomware, a la exfiltración de datos o al movimiento lateral. Por ejemplo, un servidor IIS comprometido en una intranet corporativa podría convertirse en un punto de entrada para amenazas avanzadas persistentes dirigidas a los sectores financiero o sanitario.

Aún no se han proporcionado indicadores de compromiso (IoC), pero se aconseja vigilar interacciones inusuales de objetos COM o anomalías de memoria en los registros de IIS.

La defensa más sencilla es deshabilitar IIS si no se está utilizando, ya que los sistemas no afectados no enfrentan ningún riesgo. Microsoft sugiere aplicar los próximos parches a través de Windows Update y restringir las políticas de ejecución de archivos.

Fuente:
CiberSecurityNews


Con Información de blog.segu-info.com.ar