Una vulnerabilidad crítica con calificación de 9.8 en Windows Server, que afecta versiones desde 2012 hasta 2025, está siendo activamente explotada. La falla, identificada como CVE-2025-59287, radica en una deserialización insegura de datos no confiables en el servicio Windows Server Update Services (WSUS), permitiendo a atacantes no autenticados ejecutar código arbitrario y tomar control total del sistema con solo una petición especialmente diseñada.
Aunque Microsoft lanzó un parche inicial el 14 de octubre, este no resolvió completamente el problema. El jueves siguiente, la compañía emitió una actualización de emergencia, pero investigadores de seguridad han encontrado que esta segunda reparación tampoco es infalible, pudiendo ser manipulada para distribuir actualizaciones maliciosas a clientes WSUS. Esto implica un riesgo elevado de ataques tipo ransomware y distribución de malware a través de WSUS.
Diversas agencias de ciberseguridad gubernamentales, incluyendo la CISA de EE.UU. y el Centro Nacional de Ciberseguridad de Holanda, han alertado sobre la explotación activa de esta vulnerabilidad y la amplia disponibilidad de un exploit de prueba de concepto en la red. Compañías privadas de seguridad también confirmaron que atacantes ya están explotando la falla, especialmente en instancias WSUS expuestas mediante los puertos predeterminados 8530 y 8531.
Expertos advierten que no hay razón legítima para que una instancia WSUS esté accesible desde Internet en 2025, pero se han detectado más de 8,000 sistemas expuestos, incluidos entornos altamente sensibles, incrementando la gravedad del riesgo. A pesar de la evidencia de explotación, Microsoft no ha emitido declaraciones detalladas al respecto y mantiene por ahora en su página oficial que la vulnerabilidad no ha sido explotada públicamente, información que se espera actualizar pronto debido a la actividad maliciosa detectada.
Ante esta amenaza, los administradores deben aplicar las últimas actualizaciones de inmediato y revisar la exposición de los servidores WSUS a redes públicas para evitar compromisos que pueden derivar en robo de información y control total de infraestructura crítica.
Detalles clave:
- Vulnerabilidad: CVE-2025-59287, calificación 9.8 en CVSS.
- Impacto: Ejecución remota de código sin autenticación y control total del sistema en WSUS.
- Versiones afectadas: Windows Server 2012 a 2025 con rol WSUS activo.
- Parche: Actualización inicial el 14 de octubre y parche de emergencia el 23 de octubre.
- Explotación activa: Confirmada por CISA, centros de ciberseguridad europeos y firmas de seguridad privadas.
- Método de ataque: Requests maliciosas que aprovechan la deserialización insegura, manipulación de actualizaciones.
- Recomendación: Aplicar parches urgentes, bloquear accesos externos a WSUS, monitorear actividad anómala.
La situación es crítica y continua en desarrollo; la comunidad de administradores y usuarios empresariales debe actuar con máxima prioridad.
, permitiendo a atacantes no autenticados ejecutar código arbitrario y tomar control total del sistema con solo una petición especialmente diseñada.){kind=link}