Microsoft ha lanzado actualizaciones de seguridad fuera de banda (OOB) para corregir una vulnerabilidad crítica del Servicio de Actualización de Windows Server (WSUS) con un código de explotación de prueba de concepto disponible públicamente.
WSUS es un producto de Microsoft que permite a los administradores de TI gestionar y distribuir actualizaciones de Windows a los equipos de su red.
Identificada como CVE-2025-59287 y corregida, esta falla de seguridad de ejecución remota de código (RCE) afecta únicamente a servidores Windows con el Rol de Servidor WSUS habilitado, una función que no está habilitada por defecto.
La vulnerabilidad puede explotarse remotamente en ataques de baja complejidad que no requieren la interacción del usuario, lo que permite a los atacantes sin privilegios atacar sistemas vulnerables y ejecutar código malicioso con privilegios de SYSTEM. Esto la hace potencialmente susceptible de propagación entre servidores WSUS.
Los servidores Windows que no tienen habilitado el rol de servidor WSUS no son vulnerables a esta vulnerabilidad. Si el rol de servidor WSUS está habilitado, el servidor se volverá vulnerable si no se instala la corrección antes de habilitarlo, explicó Microsoft.
Un atacante remoto no autenticado podría enviar un evento manipulado que active la deserialización de objetos no seguros en un mecanismo de serialización heredado, lo que resultaría en la ejecución remota de código.
Un exploit de prueba de concepto CVE-2025-59287 ya está disponible en línea, lo que hace aún más crucial la aplicación inmediata de parches a los servidores vulnerables.
Microsoft también compartió soluciones alternativas para los administradores que no puedan instalar estos parches de emergencia de inmediato, como deshabilitar el rol de servidor de WSUS para eliminar el vector de ataque o bloquear todo el tráfico entrante a los puertos 8530 y 8531 del firewall del host para que WSUS deje de funcionar. Sin embargo, es importante tener en cuenta que los endpoints de Windows dejarán de recibir actualizaciones del servidor local después de deshabilitar WSUS o bloquear el tráfico.
«Esta es una actualización acumulativa, por lo que no es necesario aplicar ninguna actualización anterior antes de instalar esta, ya que reemplaza todas las actualizaciones anteriores para las versiones afectadas», añadió Microsoft. «Si aún no ha instalado la actualización de seguridad de Windows de octubre de 2025, le recomendamos que aplique esta actualización OOB. Después de instalar la actualización, deberá reiniciar el sistema».
En un documento de soporte independiente, Microsoft afirmó que WSUS ya no mostrará detalles de errores de sincronización después de instalar estas o posteriores actualizaciones porque esta funcionalidad se eliminó temporalmente para abordar la vulnerabilidad RCE CVE-2025-59287.
La empresa holandesa de ciberseguridad Eye Security detectó intentos de explotación basados en la PoC y que involucran una carga útil .NET codificada en Base64 diseñada para evadir el registro mediante la ejecución de comandos a través de un encabezado de solicitud personalizado llamado ‘aaaa’.
Fuente y redacción: segu-info.com.ar