Microsoft lanzó este jueves actualizaciones de seguridad fuera de banda para corregir CVE-2025-59287, una vulnerabilidad crítica (CVSS 9.8) en Windows Server Update Services (WSUS) que ya cuenta con un exploit de prueba de concepto (PoC) público y evidencia de explotación activa en la naturaleza. Dada la gravedad y la disponibilidad de herramientas para su explotación, la aplicación del parche es prioritaria para cualquier organización que utilice el rol WSUS.
¿Qué es CVE-2025-59287 y por qué es peligrosa?
CVE-2025-59287 es una falla de deserialización de datos no confiables en WSUS que permite a un atacante remoto no autenticado provocar la ejecución remota de código (RCE) con privilegios SYSTEM. Concretamente, la vulnerabilidad está relacionada con la deserialización insegura de objetos AuthorizationCookie enviados al endpoint
1 | GetCookie() |
. Esos datos cifrados con AES-128-CBC se descifran y posteriormente se deserializan con BinaryFormatter sin validación de tipo, abriendo la puerta a la ejecución arbitraria de código si se envían objetos maliciosos.
Importante: solo afecta a servidores Windows que tengan habilitado el rol de servidor WSUS. Los servidores que no ejecutan WSUS no están en riesgo por esta falla.
Descubridores y cronología
La vulnerabilidad fue identificada y reportada por tres investigadores reconocidos: MEOW, f7d8c52bec79e42795cf15888b85cbad y Markus Wulftange (CODE WHITE GmbH). Microsoft incluyó la corrección inicialmente en su reciente Patch Tuesday, pero tras nuevas observaciones determinó que la actualización inicial no mitigaba por completo el problema, por lo que emitió un parche fuera de banda adicional.
El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL) informó que se detectó abuso de CVE-2025-59287 el 24 de octubre de 2025, basado en datos proporcionados por un socio de confianza. Eye Security confirmó observaciones de explotación temprana y describió una carga útil .NET codificada en Base64 que ejecuta comandos usando un encabezado HTTP (
1 | aaaa |
) para ocultar la instrucción en los registros.
Mecanismo de explotación observado
Según los análisis, la PoC publicada por investigadores (HawkTrace) permite desencadenar la deserialización insegura y ejecutar una carga útil estándar (por ejemplo, ysoserial .NET). Eye Security documentó una explotación que decodificaba y ejecutaba una carga útil .NET que toma el valor del encabezado de solicitud
1 | aaaa |
y lo ejecuta con
1 | cmd.exe |
, evitando así que el comando aparezca de forma evidente en los registros.
Sistemas afectados y alcance de la actualización
Microsoft declaró que la actualización fuera de banda corrige CVE-2025-59287 para las siguientes versiones compatibles de Windows Server:
-
Windows Server 2012 y 2012 R2
-
Windows Server 2016
-
Windows Server 2019
-
Windows Server 2022 (incluida la edición 23H2 Server Core)
-
Windows Server 2025
Tras instalar el parche, se recomienda reiniciar el servidor para completar la aplicación de la actualización.
Mitigaciones temporales (si no puede aplicar el parche de inmediato)
Si no es posible aplicar la actualización fuera de banda de forma inmediata, Microsoft y la comunidad de seguridad recomiendan medidas compensatorias temporales —pero no sustituirán el parche definitivo:
-
Deshabilitar el rol WSUS en servidores que no lo requieran.
-
Bloquear el tráfico entrante a los puertos 8530 y 8531 en el firewall del host (o a nivel de perímetro).
-
Monitorizar logs y alertas para solicitudes inusuales al endpoint WSUS y encabezados sospechosos (por ejemplo, patrones que incluyan valores anómalos en encabezados HTTP).
-
Implementar reglas IDS/IPS que detecten patrones asociados a la PoC pública y cargas útiles .NET codificadas en Base64.
Advertencia: Microsoft enfatiza NO revertir estas mitigaciones hasta que el parche esté completamente desplegado y confirmado en el entorno.
Recomendaciones operativas y de detección
-
Aplicar el parche fuera de banda inmediatamente en todos los servidores Windows que ejecuten el rol WSUS.
-
Reiniciar los sistemas afectados tras la instalación.
-
Ejecutar un escaneo de integridad y revisar registros para detectar signos de explotación previa: procesos .NET sospechosos, ejecuciones de
1cmd.execon entrada no habitual, ficheros ejecutables nuevos y conexiones salientes inesperadas.
-
Revisar y rotar credenciales si existe sospecha de compromiso.
-
Incorporar reglas de detección en SIEM/EDR que busquen patrones de la PoC (p. ej. encabezados HTTP inusuales, cargas Base64 que desemboquen en ejecutables .NET).
-
Seguir las instrucciones actualizadas en la página CVE de Microsoft y en avisos de autoridades locales.
Impacto regulatorio y plazos
La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) añadió CVE-2025-59287 a su catálogo de vulnerabilidades explotadas conocidas (KEV), imponiendo que las agencias federales mitiguen esta falla antes del 14 de noviembre de 2025. Este hecho pone de relieve la criticidad del riesgo y la necesidad de coordinación entre sector público y privado para su contención.
En fin…
CVE-2025-59287 es una vulnerabilidad de alta criticidad que ha demostrado explotación activa y que cuenta con PoC público; por ello, la aplicación inmediata del parche fuera de banda es esencial para mitigar riesgos de RCE con privilegios SYSTEM en servidores WSUS. Además del parche, implementar medidas de detección y mitigación temporales y revisar los registros y la integridad del entorno son pasos indispensables para asegurar la infraestructura.
Fuente: The Hacker News
