Por Mid 
WSUS bajo ataque: vulnerabilidad crítica (CVE-2025-59287) permite RCE sin autenticación
Tiempo estimado de lectura: 4 minutos | Dificultad técnica: Alta
Conclusiones clave
- La vulnerabilidad CVE-2025-59287 permite la ejecución remota de código sin necesidad de autenticación.
- Actores maliciosos están explotando activamente esta falla en entornos de producción.
- Un WSUS comprometido puede distribuir actualizaciones manipuladas a todos los equipos conectados, facilitando ataques masivos.
- Microsoft ha emitido un parche crítico que debe aplicarse de inmediato.
- CISA requiere que las agencias federales instalen el parche antes del 14 de noviembre.
Índice
- 1. Vulnerabilidad CVE-2025-59287
- 2. Riesgos asociados
- 3. Parche y recomendaciones
- 4. Conclusión final
1. Vulnerabilidad CVE-2025-59287
Una vulnerabilidad crítica newly identified está afectando a Windows Server Update Services (WSUS) y ya se encuentra en etapa de explotación activa. Microsoft ha emitido un parche urgente, mientras que la CISA señala el elevado riesgo de compromisos en masa si las organizaciones no actúan con rapidez. WSUS es una plataforma fundamental que las empresas utilizan para administrar actualizaciones de productos de Microsoft de forma centralizada. La vulnerabilidad CVE-2025-59287 permite la ejecución remota de código (RCE) sin necesidad de autenticación, y se ha confirmado que actores maliciosos están aprovechándola, según alertas de CISA y reportes de Huntress.
2. Riesgos asociados
La vulnerabilidad CVE-2025-59287 se debe a un fallo de deserialización de datos no confiables que reside en la función GetCookie(). Este fallo puede ser explotado mediante cookies cifradas manipuladas, lo que le permite a un atacante ejecutar RCE con privilegios de sistema en servidores que están expuestos a los puertos 8530 y 8531. Resulta alarmante que esta explotación no requiere interacción previa y puede realizarse sin privilegios. Actualmente, ya se están llevando a cabo ataques en entornos de producción.
El principal riesgo asociado a un WSUS comprometido es que este podría distribuir actualizaciones manipuladas a todos los equipos cliente conectados a la red. Esto facilita compromisos a gran escala, la instalación de malware y la escalada persistente dentro de infraestructuras extensas. Además, su reciente inclusión en la lista KEV de CISA subraya la urgencia de la situación, en particular en contextos gubernamentales y empresariales.
3. Parche y recomendaciones
Microsoft ha lanzado un parche crítico que debe aplicarse de inmediato. Complementariamente, se sugiere restringir el acceso a WSUS solo a los hosts administrativos y los servidores necesarios para Microsoft Update, limitando el tráfico entrante a los puertos TCP 8530 y 8531. CISA ha requerido que las agencias federales instalen el parche antes del 14 de noviembre, pero esta recomendación es igualmente vital para cualquier organización que use WSUS.
4. Conclusión final
CVE-2025-59287 representa una amenaza tangible y crítica para entornos Windows en el ámbito empresarial. La existencia de exploits públicos y la activación de ataques en curso hacen imperativa la instalación del parche sin dilaciones, así como el refuerzo de la segmentación de la red y una monitorización constante de cualquier actividad sospechosa en relación con la infraestructura de WSUS.
Referencias
- Microsoft Security Response Center
- CISA – Cybersecurity and Infrastructure Security Agency
- Huntress Security