Exploit crítico WSUS activo: Análisis del ataque CVE-2025-59287

Parche de emergencia liberado para vulnerabilidad crítica de WSUS

Microsoft ha liberado actualizaciones de seguridad de emergencia para abordar CVE-2025-59287, una vulnerabilidad crítica de ejecución remota de código en Windows Server Update Services (WSUS) que ya está siendo explotada activamente. La vulnerabilidad, con una puntuación CVSS de 9.8, permite a atacantes no autenticados ejecutar código arbitrario con privilegios SYSTEM mediante deserialización insegura de objetos en servidores WSUS.

'Nuestro café matutino fue interrumpido abruptamente por una alerta crítica del sistema WSUS de un cliente,' dijo Bas van den Berg, investigador de seguridad en Eye Security, quien documentó por primera vez la explotación en la naturaleza. 'La alerta indicaba actividad sospechosa en nuestra telemetría EDR: whoami.exe se había ejecutado, con w3wp.exe como proceso padre. Esto generalmente indica fuertemente una webshell ASPX maliciosa.'

Cómo funciona el exploit

La vulnerabilidad reside en la deserialización insegura de objetos AuthorizationCookie en BinaryFormatter de WSUS. Los atacantes pueden enviar solicitudes especialmente manipuladas al endpoint ClientWebService/client.asmx en puertos 8530 (HTTP) o 8531 (HTTPS) para activar la ejecución remota de código. La empresa de seguridad HawkTrace publicó detalles técnicos y un exploit de prueba de concepto el 18 de octubre de 2025, que inicialmente demostraba capacidades de ventanas emergentes de calculadora.

Sin embargo, los atacantes reales han mejorado significativamente el exploit. 'Esto era muy diferente al POC de HawkTrace y muestra que el actor de amenazas tenía capacidades que van más allá de las de un script kiddie,' señaló van den Berg. Los atacantes utilizaron una cadena de gadgets ysoserial.net con un archivo PE incrustado que toma entrada de comandos de encabezados HTTP y los ejecuta a través de cmd.exe.

Evidencia de explotación activa

La investigación de Eye Security reveló exploración manual con comandos separados por segundos, lo que indica operaciones manuales en lugar de scripts automatizados. Los atacantes utilizaron el exploit para ejecutar comandos de enumeración del sistema y posiblemente prepararse para la implementación de ransomware.

Según CISA, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ha agregado esta vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas y requiere que las agencias federales remedien a más tardar el 14 de noviembre de 2025.

Impacto global y exposición

Los escaneos iniciales de internet revelaron aproximadamente 8,000 servidores WSUS expuestos a internet, muchos de los cuales pertenecen a organizaciones de alto valor. El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL) también confirmó la explotación activa en los Países Bajos.

'Hemos reproducido la cadena de explotación y con la llamada correcta de ysoserial.net pudimos lograr la ejecución remota de código arbitrario,' enfatizó van den Berg. 'Las implicaciones son claras: esta es una amenaza seria que requiere acción inmediata.'

Recomendaciones inmediatas

Microsoft ha liberado parches para todas las versiones afectadas de Windows Server (2025, 2022, 2019, 2016, 2012 R2 y 2012) a través de KB5070883. Las organizaciones deben:

• Aplicar el parche de emergencia inmediatamente y reiniciar los sistemas afectados
• Asegurarse de que los servidores WSUS no estén expuestos a internet a menos que sea absolutamente necesario
• Implementar soluciones EDR de última generación con capacidades de triaje humano
• Monitorear SoftwareDistribution.log en busca de Indicadores de Compromiso específicos

Para organizaciones que no pueden aplicar parches inmediatamente, las soluciones temporales incluyen deshabilitar el Rol de Servidor WSUS o bloquear el tráfico entrante en los puertos 8530 y 8531, aunque esto impedirá que los endpoints locales reciban actualizaciones.