Microsoft ha revelado una falla crítica de ejecución remota de código en
Internet Information Server (IIS), lo que supone un riesgo para las
organizaciones que dependen de servidores Windows para el alojamiento web.
Identificada como CVE-2025-59282, la vulnerabilidad afecta a los objetos COM
que gestionan la memoria global, debido a una condición de carrera y un error
de uso tras liberación. Anunciada el 14 de octubre de 2025, tiene una
puntuación base de 7.0 en CVSS 3.1, calificada como «Importante» por
Microsoft.
Aunque aún no se ha explotado de forma activa, los expertos en seguridad
advierten que su potencial de ejecución de código arbitrario podría permitir
a los atacantes comprometer la integridad del servidor, robar datos o
redirigir a ataques de red más amplios.
La falla surge durante la ejecución concurrente, donde los recursos
compartidos carecen de una sincronización adecuada, lo que permite a un
atacante no autorizado manipular los estados de la memoria. Según los detalles
de la CVE, la explotación requiere acceso local, pero puede provenir de
un adversario remoto que engaña al usuario para que abra un archivo malicioso.
Una explotación exitosa podría permitir a los atacantes ejecutar código
arbitrario con los privilegios del proceso IIS, a menudo ejecutándose como
SYSTEM en servidores mal configurados.
No se requieren privilegios, aunque la alta complejidad del ataque exige
superar una condición de carrera precisa, lo que lo hace difícil, pero
factible para atacantes expertos. Microsoft aclara que el término «remoto» en
el título se refiere a la posición del atacante, no al sitio de ejecución, lo
que lo distingue de las vulnerabilidades completamente remotas.
En esencia, la vulnerabilidad CVE-2025-59282 explota las debilidades en
CWE-362 (condición de carrera) y CWE-416 (uso tras liberación) dentro de la
gestión de objetos COM de IIS. Cuando un usuario interactúa con un archivo
manipulado, como un documento o script con formato específico, la
vulnerabilidad desencadena una gestión incorrecta de la memoria.
Esto conduce a un escenario de uso tras liberación donde se accede
simultáneamente a la memoria liberada, lo que permite la inyección de código.
(Aún) no se ha publicado código de prueba de concepto, pero los investigadores
observan similitudes con problemas de memoria de IIS anteriores, donde los
atacantes podrían escalar el control a nivel de sistema. Las versiones
afectadas incluyen todas las ediciones de Windows Server con IIS habilitado.
En entornos empresariales, esto podría exponer aplicaciones web, bases de
datos o endpoints API sensibles a la implementación de ransomware, la
exfiltración de datos o el movimiento lateral. Por ejemplo, un servidor IIS
comprometido en una intranet corporativa podría servir como punto de entrada
para amenazas persistentes avanzadas dirigidas a los sectores financiero o
sanitario.
Aún no se han detallado indicadores de compromiso (IoC), pero se recomienda
supervisar las interacciones inusuales de objetos COM o las anomalías de
memoria en los registros de IIS.
La defensa más sencilla es deshabilitar IIS si no se utiliza, ya que los
sistemas no afectados no corren ningún riesgo. Microsoft recomienda aplicar
los próximos parches a través de Windows Update y restringir las políticas de
ejecución de archivos.
Fuente:
CiberSecurityNews