Microsoft ha emitido actualizaciones de seguridad de emergencia (OOB) para resolver una
vulnerabilidad crítica en el Servicio de Actualización de Windows Server (WSUS) que cuenta con un código de explotación de prueba de concepto accesible públicamente.
WSUS es una herramienta de Microsoft que permite a los administradores de TI gestionar y distribuir actualizaciones de Windows a los dispositivos de su red.
Esta vulnerabilidad, identificada como
CVE-2025-59287, fue abordada durante el
martes de parches de este mes.
Se trata de una falla de ejecución remota de código (RCE) que afecta únicamente a servidores Windows con el rol de WSUS activado, función que no está habilitada de manera predeterminada.
La vulnerabilidad puede ser explotada de forma remota a través de ataques simples que no requieren interacción del usuario, lo que permite a atacantes sin privilegios comprometer sistemas vulnerables y ejecutar código malicioso con privilegios de SYSTEM. Esto podría facilitar su propagación entre servidores WSUS.
Los servidores Windows sin el rol de WSUS habilitado no son afectados por esta vulnerabilidad. Microsoft explicó que si el rol de WSUS se activa sin haber instalado la corrección, el servidor se volverá vulnerable.
Un atacante remoto no autenticado podría enviar un evento manipulado que provoque la deserialización de objetos inseguros en un mecanismo de serialización heredado, resultando en la ejecución remota de código.
Ya se encuentra disponible un exploit de prueba de concepto para CVE-2025-59287, lo que resalta la urgencia de aplicar parches a los servidores vulnerables de inmediato.
Microsoft también ha proporcionado soluciones alternativas para los administradores que no puedan aplicar estos parches de manera inmediata, como deshabilitar el rol de servidor WSUS para eliminar la vulnerabilidad, o bloquear todo el tráfico entrante a los puertos 8530 y 8531 en el firewall del host para que WSUS no esté operativo. Sin embargo, es importante señalar que los dispositivos Windows dejarán de recibir actualizaciones del servidor local tras deshabilitar WSUS o bloquear el tráfico.
«Esta es una actualización acumulativa, por lo que no es necesario aplicar ningún parche anterior antes de instalarla, ya que reemplaza todas las actualizaciones anteriores para las versiones afectadas», indicó Microsoft. «Si aún no ha aplicado la actualización de seguridad de Windows de octubre de 2025, recomendamos instalar esta actualización OOB. Después de aplicar la actualización, el sistema deberá reiniciarse».
En un documento de soporte independiente, Microsoft afirmó que WSUS dejará de mostrar detalles sobre errores de sincronización después de instalar estas o futuras actualizaciones, ya que esta funcionalidad se ha eliminado temporalmente para abordar la vulnerabilidad RCE CVE-2025-59287.
La empresa holandesa de ciberseguridad Eye Security ha detectado intentos de explotación basados en la PoC, incluyendo una carga útil .NET codificada en Base64 que busca evadir registros ejecutando comandos a través de un encabezado de solicitud personalizado denominado ‘aaaa’.
Fuente:
BC
Con Información de blog.segu-info.com.ar