microsoft el jueves liberado actualizaciones de seguridad fuera de banda para parchear una vulnerabilidad de gravedad crítica del Servicio de actualización de Windows Server (WSUS) con un exploit de prueba de concepto (Poc) disponible públicamente y que ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-59287 (Puntuación CVSS: 9,8), una falla de ejecución remota de código en WSUS que fue solucionada originalmente por el gigante tecnológico como parte de su actualización Patch Tuesday publicada la semana pasada.
Tres investigadores de seguridad, MEOW, f7d8c52bec79e42795cf15888b85cbad y Markus Wultange de CODE WHITE GmbH, han sido reconocidos por descubrir e informar del error.
La deficiencia se refiere a un caso de deserialización de datos no confiables en WSUS que permite a un atacante no autorizado ejecutar código a través de una red. Vale la pena señalar que la vulnerabilidad no afecta a los servidores Windows que no tienen habilitada la función de servidor WSUS.
En un escenario de ataque hipotético, un atacante remoto y no autenticado podría enviar un evento diseñado que desencadene la deserialización de objetos inseguros en un «mecanismo de serialización heredado», lo que llevaría a la ejecución remota de código.
De acuerdo a Batuhan Er, investigador de seguridad de HawkTraceel problema «surge de la deserialización insegura de los objetos AuthorizationCookie enviados al punto final GetCookie(), donde los datos de las cookies cifradas se descifran usando AES-128-CBC y posteriormente se deserializan a través de BinaryFormatter sin la validación de tipo adecuada, lo que permite la ejecución remota de código con privilegios de SISTEMA».
Vale la pena señalar que la propia Microsoft anteriormente recomendado los desarrolladores dejen de usar BinaryFormatter para la deserialización, debido al hecho de que el método no es seguro cuando se usa con entradas que no son de confianza. Posteriormente se eliminó una implementación de BinaryFormatter de .NET 9 en agosto de 2024.
 |
| Ejecutable .NET implementado a través de CVE‑2025‑59287 |
«Para abordar de manera integral CVE-2025-59287, Microsoft ha lanzado una actualización de seguridad fuera de banda para las siguientes versiones compatibles de Windows Server: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (instalación de Server Core) y Windows Server 2025», Redmond dicho en una actualización.
Una vez instalado el parche, se recomienda reiniciar el sistema para que la actualización surta efecto. Si aplicar la opción fuera de banda no es una opción, los usuarios pueden tomar cualquiera de las siguientes acciones para protegerse contra la falla:
- Deshabilite la función del servidor WSUS en el servidor (si está habilitado)
- Bloquee el tráfico entrante a los puertos 8530 y 8531 en el firewall del host
«NO deshaga ninguna de estas soluciones hasta que haya instalado la actualización», advirtió Microsoft.
El desarrollo se produce cuando el Centro Nacional Holandés de Seguridad Cibernética (NCSC) dicho se enteró por un «socio de confianza que se observó un abuso de CVE-2025-59287 el 24 de octubre de 2025».
Eye Security, que notificó al NCSC-NL sobre la explotación en estado salvaje, dicho observó por primera vez que se abusaba de la vulnerabilidad a las 06:55 am UTC para lanzar una carga útil codificada en Base64 dirigida a un cliente anónimo. La carga útil, un ejecutable .NET, «toma el valor del encabezado de solicitud 'aaaa' y lo ejecuta directamente usando cmd.exe».
«Esta es la carga útil que se envía a los servidores, que utiliza el encabezado de solicitud con el nombre 'aaaa' como fuente para el comando que se ejecutará», dijo Piet Kerkhofs, CTO de Eye Security, a The Hacker News. «Esto evita que los comandos aparezcan directamente en el registro».
Cuando se le preguntó si la explotación podría haber ocurrido antes que hoy, Kerkhofs señaló que «el PoC de HawkTrace se lanzó hace dos días y puede usar una carga útil estándar ysoserial .NET, así que sí, las piezas para la explotación estaban ahí».
La firma de ciberseguridad Huntress también dijo que detectó actores de amenazas dirigidos a instancias de WSUS expuestas públicamente en sus puertos predeterminados (8530/TCP y 8531/TCP) a partir del 23 de octubre de 2025 a las 23:34 UTC. Sin embargo, señaló que es probable que la explotación de CVE-2025-59287 sea limitada, dado que WSUS no suele exponer los puertos 8530 y 8531.
«Los atacantes aprovecharon los puntos finales de WSUS expuestos para enviar solicitudes especialmente diseñadas (múltiples llamadas POST a servicios web de WSUS) que desencadenaron una RCE de deserialización contra el servicio de actualización», dicho.
La actividad de explotación ha provocado que el proceso de trabajo de WSUS genere instancias de «cmd.exe» y PowerShell, lo que lleva a la descarga y ejecución de una carga útil de PowerShell codificada en Base64 con el objetivo de enumerar los servidores expuestos para la red y la información del usuario y filtrar los resultados a un webhook controlado por el atacante.[.]URL del sitio.
Cuando se le contactó para hacer comentarios, un portavoz de Microsoft dijo a la publicación que «volvemos a publicar este CVE después de identificar que la actualización inicial no mitigó completamente el problema. Los clientes que instalaron las últimas actualizaciones ya están protegidos».
La compañía también enfatizó que el problema no afecta a los servidores que no tienen Función del servidor WSUS habilitado y ha recomendado a los clientes afectados que sigan las instrucciones de su página CVE.
Dada la disponibilidad de un exploit PoC y la actividad de explotación detectada, es esencial que los usuarios apliquen el parche lo antes posible para mitigar la amenaza. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también ha agregado la falla de sus vulnerabilidades explotadas conocidas (KEV), requiriendo que las agencias federales lo remedien antes del 14 de noviembre de 2025.
(La historia se actualizó después de la publicación con información adicional de Eye Security, Huntress y una respuesta de Microsoft).
Fuente