La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió una guía actualizada sobre una vulnerabilidad crítica en el Servicio de Actualización de Windows Server e instó a los equipos de seguridad a aplicar parches de inmediato a sus sistemas y verificar posibles compromisos.
La vulnerabilidad, rastreada como CVE-2025-59287implica la deserialización de datos que no son de confianza en WSUS, una herramienta ampliamente utilizada por los administradores de TI para implementar actualizaciones de productos de Microsoft.
Los investigadores de seguridad han estado rastreando un serie de intentos de explotación en las últimas semanas. Un parche inicial emitido a mediados de octubre fracasó y Microsoft emitió una actualización de seguridad fuera de banda de emergencia a fines de la semana pasada.
CISA emitida el miércoles orientación adicional sobre cómo comprobar posibles compromisos y advirtió a los equipos de seguridad que se tomaran la amenaza muy en serio.
«La amenaza de estos actores es real: las organizaciones deben aplicar inmediatamente el parche fuera de banda de Microsoft y seguir las pautas de mitigación para proteger sus sistemas». Nick Andersen, subdirector ejecutivo de la División de Ciberseguridad de CISA, dijo a Cybersecurity Dive.
Los equipos de seguridad necesitan identificar servidores vulnerables a la explotación, incluidos aquellos habilitados con WSUS y puertos abiertos a TCP 8530/8531. CISA proporcionó comandos de PowerShell específicos diseñados para verificar si WSUS está instalado.
CISA dijo que se debe instalar el parche de emergencia y que las organizaciones deben verificar si hay actividades sospechosas y procesos secundarios generados con permisos a nivel de SISTEMA.
CISA previamente agregó la falla a su Vulnerabilidades explotadas conocidas catalogar. El sábado dijo que ninguna agencia federal se había visto comprometida.
Google Threat Intelligence Group le dijo el lunes a Cybersecurity Dive que estaba investigando ataques en múltiples organizaciones. Los piratas informáticos han estado realizando actividades de reconocimiento después de violar sistemas y extraer datos, dijeron investigadores de Google.
Los investigadores de Eye Security dijeron a Cybersecurity Dive que sospechan que más de un grupo de amenazas está apuntando a las organizaciones.
Mientras tanto, Huntress informó la semana pasada que varios de sus clientes se habían visto afectados por los intentos de explotación. Los investigadores de Huntress dijeron a Cybersecurity Dive que la actividad disminuyó rápidamente y no han visto ningún intento de seguimiento.
Anderson agregó que las organizaciones no deberían exponer los puertos WSUS (8530/8531) a Internet. Si los puertos han quedado expuestos, las organizaciones deben buscar indicios de un posible compromiso.
Fuente