Microsoft el jueves publicado actualizaciones de seguridad fuera de banda para corregir una vulnerabilidad del Windows Server Update Service (WSUS) de gravedad crítica con un exploit de prueba de concepto (Poc) disponible públicamente y que ha sido explotado activamente en estado salvaje.
La vulnerabilidad en cuestión es CVE-2025-59287 (puntuación CVSS: 9,8), una falla de ejecución remota de código en WSUS que el gigante tecnológico solucionó originalmente como parte de su actualización del martes de parches publicada la semana pasada.
Tres investigadores de seguridad, MEOW, f7d8c52bec79e42795cf15888b85cbad, y Markus Wulftange de CODE WHITE GmbH, han sido reconocidos por descubrir y denunciar el error.
La deficiencia se refiere a un caso de deserialización de datos no confiables en WSUS que permite a un atacante no autorizado ejecutar código en una red. Cabe señalar que la vulnerabilidad no afecta a los servidores Windows que no tienen habilitada la función de servidor WSUS.
En un escenario hipotético de ataque, un atacante remoto no autenticado podría enviar un evento diseñado que desencadene la deserialización de objetos no seguros en un «mecanismo de serialización heredado», lo que llevaría a la ejecución remota de código.
De acuerdo con Batuhan Er, investigador de seguridad de HawkTrace , el problema «se debe a la deserialización insegura de los objetos AuthorizationCookie enviados al punto final getCookie (), donde los datos cifrados de las cookies se descifran mediante AES-128-CBC y, posteriormente, se deserializan mediante BinaryFormatter sin la validación de tipo adecuada, lo que permite la ejecución remota de código con privilegios de SISTEMA».
Vale la pena señalar que la propia Microsoft anteriormente recomendado los desarrolladores deben dejar de usar BinaryFormatter para la deserialización, debido a que el método no es seguro cuando se usa con entradas que no son confiables. Posteriormente, en agosto de 2024, se eliminó una implementación de BinaryFormatter de .NET 9.
|
| Ejecutable de.NET implementado mediante CVE‑2025‑59287 |
«Para abordar de manera integral el CVE-2025-59287, Microsoft ha publicado una actualización de seguridad fuera de banda para las siguientes versiones compatibles de Windows Server: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (instalación de Server Core) y Windows Server 2025», Redmond dijo en una actualización.
Una vez instalado el parche, se recomienda reiniciar el sistema para que la actualización surta efecto. Si la opción fuera de banda no es una opción, los usuarios pueden tomar cualquiera de las siguientes medidas para protegerse contra la falla:
- Deshabilitar la función de servidor WSUS en el servidor (si está habilitada)
- Bloquee el tráfico entrante a los puertos 8530 y 8531 del firewall del host
«NO deshaga ninguna de estas soluciones hasta que haya instalado la actualización», advierte Microsoft.
El desarrollo se produce como el Centro Nacional de Ciberseguridad de los Países Bajos (NCSC) dijo se enteró por un «socio de confianza de que el 24 de octubre de 2025 se observó un abuso del CVE-2025-59287».
Eye Security, que notificó al NCSC-NL sobre la explotación en estado salvaje, dijo observó que la vulnerabilidad se utilizaba para lanzar una carga útil codificada en Base64 dirigida a un cliente anónimo. La carga útil, un ejecutable de.NET, «toma el encabezado de solicitud con el valor 'aaaa' y lo ejecuta directamente mediante cmd.exe».
Dada la disponibilidad de un exploit de PoC, es esencial que los usuarios apliquen el parche lo antes posible para mitigar las posibles amenazas.