Al menos 50 organizaciones se han visto afectadas por ataques dirigidos a una vulnerabilidad crítica en el servicio de actualización de Windows Server, y la mayoría de ellas están ubicadas en los EE. UU., según investigadores de la firma de ciberseguridad Sophos.
La vulnerabilidad, rastreada como CVE-2025-59287implica la deserialización de datos que no son de confianza. Una actualización de seguridad publicada por Microsoft a mediados de octubre no proporcionó la protección adecuada y Microsoft emitió un parche de emergencia fuera de banda a finales de la semana pasada para solucionar el problema.
La propia telemetría de Sophos detectó seis incidentes relacionados con la actividad de explotación, y la información de inteligencia adicional recopilada por los investigadores muestra al menos 50 víctimas. la compañía le dijo a Cybersecurity Dive.
«Es posible que esta fuera una fase inicial de prueba o reconocimiento, y que los atacantes ahora estén analizando los datos que han recopilado para identificar nuevas oportunidades de intrusión», dijo Rafe Pilling, director de inteligencia de amenazas de Sophos, a Cybersecurity Dive en un comunicado enviado por correo electrónico.
WSUS es ampliamente utilizado por los administradores de TI para administrar actualizaciones de productos de Microsoft.
La mayoría de las organizaciones afectadas se encuentran en EE. UU., incluidas empresas de tecnología, universidades, fabricantes y organizaciones de atención médica. según una publicación de LinkedIn por pillaje.
Investigadores del grupo de inteligencia sobre amenazas de Google previamente vinculó la explotación a un hacker están rastreando como UNC6512. Después de obtener el acceso inicial, el actor de la amenaza realizó actividades de reconocimiento en el host comprometido y en entornos relacionados. También extrajo datos.
Los investigadores de Eye Security dijeron que han identificado dos actores diferentes involucrados en la explotación, basado en su análisis que amplía la investigación sobre amenazas publicada la semana pasada de los laboratorios Huntress.
Sophos identificó por primera vez actividad de amenazas contra sus propios clientes a partir del 24 de octubre, un día después de que Microsoft emitiera el parche fuera de banda.
La Agencia de Seguridad de Infraestructura y Ciberseguridad la semana pasada agregó el defecto a su catálogo de vulnerabilidades explotadas conocidas. La agencia esta semana. instó a los equipos de seguridad a aplicar urgentemente los parches de Microsoft y comprobar si sus sistemas están comprometidos.
Fuente