Microsoft lanzó el jueves actualizaciones de seguridad fuera de banda para parchear una vulnerabilidad de gravedad crítica del Servicio de actualización de Windows Server (WSUS) con un exploit de prueba de concepto (Poc) disponible públicamente y que ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-59287 (Puntuación CVSS: 9,8), una falla de ejecución remota de código en WSUS que fue solucionada originalmente por el gigante tecnológico como parte de su actualización Patch Tuesday publicada la semana pasada.
Tres investigadores de seguridad, MEOW, f7d8c52bec79e42795cf15888b85cbad y Markus Wultange de CODE WHITE GmbH, han sido reconocidos por descubrir e informar del error.
La deficiencia se refiere a un caso de deserialización de datos no confiables en WSUS que permite a un atacante no autorizado ejecutar código a través de una red. Vale la pena señalar que la vulnerabilidad no afecta a los servidores Windows que no tienen habilitada la función de servidor WSUS.
En un escenario de ataque hipotético, un atacante remoto y no autenticado podría enviar un evento diseñado que desencadene la deserialización de objetos inseguros en un «mecanismo de serialización heredado», lo que llevaría a la ejecución remota de código.
Según el investigador de seguridad de HawkTrace, Batuhan Er, el problema «surge de la deserialización insegura de los objetos AuthorizationCookie enviados al punto final GetCookie(), donde los datos de las cookies cifradas se descifran usando AES-128-CBC y posteriormente se deserializan a través de BinaryFormatter sin la validación de tipo adecuada, lo que permite la ejecución remota de código con privilegios de SISTEMA».
Vale la pena señalar que el propio Microsoft recomendó anteriormente a los desarrolladores que dejaran de usar BinaryFormatter para la deserialización, debido al hecho de que el método no es seguro cuando se usa con entradas que no son de confianza. Posteriormente se eliminó una implementación de BinaryFormatter de .NET 9 en agosto de 2024.
 |
| Ejecutable .NET implementado a través de CVE‑2025‑59287 |
«Para abordar de manera integral CVE-2025-59287, Microsoft ha lanzado una actualización de seguridad fuera de banda para las siguientes versiones compatibles de Windows Server: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (instalación de Server Core) y Windows Server 2025», dijo Redmond en una actualización.
Una vez instalado el parche, se recomienda reiniciar el sistema para que la actualización surta efecto. Si aplicar la opción fuera de banda no es una opción, los usuarios pueden tomar cualquiera de las siguientes acciones para protegerse contra la falla:
- Deshabilite la función del servidor WSUS en el servidor (si está habilitado)
- Bloquee el tráfico entrante a los puertos 8530 y 8531 en el firewall del host
«NO deshaga ninguna de estas soluciones hasta que haya instalado la actualización», advirtió Microsoft.
El desarrollo se produce cuando el Centro Nacional de Seguridad Cibernética de Holanda (NCSC) dijo que se enteró por un «socio confiable de que se observó un abuso de CVE-2025-59287 el 24 de octubre de 2025».
Eye Security, que notificó al NCSC-NL sobre la explotación en estado salvaje, dijo que observó por primera vez que se abusaba de la vulnerabilidad a las 06:55 am UTC para lanzar una carga útil codificada en Base64 dirigida a un cliente anónimo. La carga útil, un ejecutable .NET, «toma el valor del encabezado de solicitud ‘aaaa’ y lo ejecuta directamente usando cmd.exe».
«Esta es la carga útil que se envía a los servidores, que utiliza el encabezado de solicitud con el nombre ‘aaaa’ como fuente para el comando que se ejecutará», dijo Piet Kerkhofs, CTO de Eye Security, a The Hacker News. «Esto evita que los comandos aparezcan directamente en el registro».
Cuando se le preguntó si la explotación podría haber ocurrido antes que hoy, Kerkhofs señaló que «el PoC de HawkTrace se lanzó hace dos días y puede usar una carga útil estándar ysoserial .NET, así que sí, las piezas para la explotación estaban ahí».
Cuando se le contactó para hacer comentarios, un portavoz de Microsoft dijo a la publicación que «volvemos a publicar este CVE después de identificar que la actualización inicial no mitigó completamente el problema. Los clientes que instalaron las últimas actualizaciones ya están protegidos.
La compañía también enfatizó que el problema no afecta a los servidores que no tienen habilitada la función de servidor WSUS y recomendó a los clientes afectados que sigan las instrucciones en su página CVE.
Dada la disponibilidad de un exploit PoC y la actividad de explotación detectada, es esencial que los usuarios apliquen el parche lo antes posible para mitigar la amenaza. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que la remedien antes del 14 de noviembre de 2025.
(La historia se actualizó después de la publicación con información adicional de Eye Security y una respuesta de Microsoft).