Una vulnerabilidad crítica en Windows Server Update Services (WSUS), identificada como CVE-2025-59287, está siendo aprovechada por atacantes para ejecutar código de forma remota y sin autenticación. La debilidad reside en la deserialización de datos no confiables y ha motivado la publicación urgente de parches fuera de banda por parte de Microsoft.
Investigadores independientes y equipos de respuesta han confirmado actividad maliciosa en entornos reales, con intentos de intrusión y campañas dirigidas a servidores WSUS accesibles por red. Organizaciones en Europa y en España deben dar a esta incidencia la máxima prioridad de parcheo por el potencial de compromiso masivo del sistema de distribución de actualizaciones.
Qué ha pasado y por qué importa
La falla, rastreada como CVE-2025-59287 (CVSS 9,8), permite a un atacante remoto no autenticado ejecutar código con altos privilegios enviando eventos especialmente manipulados al servicio WSUS. Microsoft reemitió el boletín tras comprobar que la actualización inicial no mitigaba completamente el problema, y publicó una corrección fuera de banda de aplicación inmediata.
Según distintas fuentes del sector, como Huntress, Horizon3.ai y equipos de threat intel, la técnica de ataque es de baja complejidad y, con un exploit público disponible, se ha convertido en un objetivo apetecible. Además, la Agencia de Ciberseguridad de EE. UU. (CISA) ha añadido el fallo a su catálogo de vulnerabilidades explotadas, lo que subraya la urgencia de actuar.
Cómo funciona la vulnerabilidad
El núcleo del problema es una deserialización insegura en WSUS que puede activarse a través de peticiones a servicios web del propio rol. En escenarios observados, las solicitudes provocan que el proceso de WSUS o el worker de IIS genere cmd.exe y PowerShell, posibilitando la ejecución de cargas útiles.
Investigaciones técnicas señalan que se abusa del manejo de cookies de autorización en un punto de entrada concreto, donde los datos cifrados (por ejemplo, con AES-128-CBC) se descifran y se deserializan sin validación de tipo mediante mecanismos heredados. Esto abre la puerta a RCE con privilegios de SISTEMA si el servidor es alcanzable.
Versiones afectadas y disponibilidad de parches
Microsoft ha liberado actualizaciones fuera de banda para Windows Server 2012, 2012 R2, 2016, 2019, 2022 (incluida 23H2 Server Core) y Windows Server 2025. Es imprescindible reiniciar el sistema tras instalar el parche para completar la mitigación.
Es importante destacar que no están afectados los servidores que no tienen habilitado el rol de WSUS. Para quienes no puedan actualizar de inmediato, la compañía propone medidas temporales: deshabilitar el rol o bloquear el tráfico entrante a los puertos 8530/8531 en el cortafuegos del host.
Explotación en Europa: cronología y campañas observadas
Autoridades y proveedores europeos han confirmado señales de explotación. El NCSC de Países Bajos reportó abusos observados el 24 de octubre, a partir de información de un socio de confianza, mientras que el BSI alemán advirtió del impacto si el atacante alcanza la red interna o si hay fallos en la segmentación.
La firma Eye Security informó de miles de instancias expuestas en Internet, incluyendo cientos en Alemania y alrededor de un centenar en Países Bajos. En varios casos, los adversarios enviaron peticiones POST a los servicios web de WSUS para activar la deserialización y lanzar una cadena de comandos de reconocimiento.
Riesgos para las organizaciones y posibles impactos
Comprometer un servidor WSUS permite a un atacante moverse lateralmente y escalar privilegios, con el riesgo añadido de manipular la distribución de actualizaciones. Analistas de distintas compañías advierten de un posible ataque a la cadena de suministro interna si se implantan binarios maliciosos como si fuesen parches legítimos.
En incidentes investigados, se observaron PowerShell y cmd.exe lanzando comandos para identificar usuarios, enumerar cuentas de dominio y extraer configuración de red, con exfiltración a endpoints remotos controlados por los atacantes.
Recomendaciones de mitigación inmediata
Para entornos en España y el resto de Europa, se recomienda priorizar el despliegue urgente del parche fuera de banda en todos los servidores con rol WSUS. Si la actualización no es viable de forma inmediata, aplique las mitigaciones y planifique la ventana de mantenimiento cuanto antes.
- Actualice a las versiones corregidas y reinicie el servidor.
- Deshabilite temporalmente el rol WSUS si no es crítico en ese momento.
- Bloquee en el cortafuegos del host los puertos 8530/8531 (no solo en perímetro).
- Limite la exposición de WSUS a la red interna y revise la segmentación.
No deshaga ninguna de estas medidas provisionales hasta completar la instalación del parche. Además, conviene revisar la superficie de ataque: WSUS no debería estar expuesto públicamente en Internet.
Indicadores y señales a vigilar
En actividad observada por diferentes equipos, los atacantes buscaron reconocimiento del dominio y del entorno de red, con ejecución de comandos como whoami, net user /domain e ipconfig /all y envío de resultados a webhooks remotos.
Revise registros de IIS/WSUS en busca de múltiples llamadas POST inusuales a los servicios web, aparición de procesos hijos del worker de IIS (w3wp.exe) o de WSUS (wsusservice.exe), y cargas PowerShell en Base64 iniciadas por estos procesos.
Qué es WSUS y por qué es un objetivo atractivo
WSUS permite a los administradores centralizar y controlar las actualizaciones de productos Microsoft en redes corporativas. Su papel de confianza lo convierte en un punto único de alto impacto: al comprometerlo, un atacante puede afectar a un gran número de equipos de manera silenciosa.
Debido a su naturaleza y a que a menudo no recibe la misma atención que otros sistemas expuestos, WSUS puede quedar desactualizado o mal segmentado. Esto, sumado a un exploit de baja complejidad, eleva significativamente el riesgo operativo.
La combinación de una vulnerabilidad crítica con pruebas de concepto públicas, explotación ya detectada y una superficie que a veces está más abierta de lo recomendable obliga a actuar con rapidez: aplique los parches, cierre vectores de exposición y aumente la vigilancia sobre los servidores WSUS mientras dure la oleada de intentos.
