Microsoft ha lanzado actualizaciones de seguridad fuera de banda (OOB) para
corregir una vulnerabilidad crítica del Servicio de Actualización de Windows
Server (WSUS) con un código de explotación de prueba de concepto disponible
públicamente.
WSUS es un producto de Microsoft que permite a los administradores de TI
gestionar y distribuir actualizaciones de Windows a los equipos de su red.
Identificada como
CVE-2025-59287
y corregida durante el
martes de parches de este mes,
esta falla de seguridad de ejecución remota de código (RCE) afecta
únicamente a servidores Windows con el Rol de Servidor WSUS habilitado, una
función que no está habilitada por defecto.
La vulnerabilidad puede explotarse remotamente en ataques de baja complejidad
que no requieren la interacción del usuario, lo que permite a los atacantes
sin privilegios atacar sistemas vulnerables y ejecutar código malicioso con
privilegios de SYSTEM. Esto la hace potencialmente susceptible de propagación
entre servidores WSUS.
Los servidores Windows que no tienen habilitado el rol de servidor WSUS no son
vulnerables a esta vulnerabilidad. Si el rol de servidor WSUS está habilitado,
el servidor se volverá vulnerable si no se instala la corrección antes de
habilitarlo, explicó Microsoft.
Un atacante remoto no autenticado podría enviar un evento manipulado que
active la deserialización de objetos no seguros en un mecanismo de
serialización heredado, lo que resultaría en la ejecución remota de código.
Un exploit de prueba de concepto CVE-2025-59287
ya está disponible en línea, lo que hace aún más crucial la aplicación
inmediata de parches a los servidores vulnerables.
Microsoft también compartió soluciones alternativas para los administradores
que no puedan instalar estos parches de emergencia de inmediato, como
deshabilitar el rol de servidor de WSUS para eliminar el vector de ataque o
bloquear todo el tráfico entrante a los puertos 8530 y 8531 del firewall del
host para que WSUS deje de funcionar. Sin embargo, es importante tener en
cuenta que los endpoints de Windows dejarán de recibir actualizaciones del
servidor local después de deshabilitar WSUS o bloquear el tráfico.
«Esta es una actualización acumulativa, por lo que no es necesario aplicar
ninguna actualización anterior antes de instalar esta, ya que reemplaza
todas las actualizaciones anteriores para las versiones afectadas»,
añadió Microsoft.
«Si aún no ha instalado la actualización de seguridad de Windows de octubre
de 2025, le recomendamos que aplique esta actualización OOB. Después de
instalar la actualización, deberá reiniciar el sistema».
En un
documento de soporte independiente, Microsoft afirmó que WSUS ya no mostrará detalles de errores de
sincronización después de instalar estas o posteriores actualizaciones porque
esta funcionalidad se eliminó temporalmente para abordar la vulnerabilidad RCE
CVE-2025-59287.
Fuente:
BC