La vulnerabilidad CVE-2025-59287 permite la ejecución remota de código en servidores Windows. CISA advirtió que la falla estaba siendo explotada y ordenó a las entidades federales de Estados Unidos su corrección inmediata.
Microsoft emitió una actualización de seguridad fuera de su calendario habitual de parches para abordar una grave vulnerabilidad en el servicio Windows Server Update Services (WSUS), identificada como CVE-2025-59287, que ya está siendo explotada activamente. La falla, de tipo ejecución remota de código (RCE), podría permitir que atacantes obtengan control total de los sistemas afectados sin interacción del usuario.
La compañía explicó que el fallo, presente solo en equipos con el rol de servidor WSUS habilitado -una configuración no activa por defecto-, se debe a una deserialización de datos no confiables que permite la ejecución de comandos maliciosos a través de solicitudes especialmente diseñadas. “Recomendamos aplicar esta actualización de inmediato, ya que el fallo es potencialmente “wormable” entre servidores WSUS”, advirtió Dustin Childs, de Trend Micro’s Zero Day Initiative.
La amenaza escaló tras la publicación, el fin de semana, de un código de prueba de concepto (PoC) por parte de la firma HawkTrace Security, lo que aumentó el riesgo de explotación masiva. Microsoft lanzó parches para todas las versiones afectadas de Windows Server, desde 2012 hasta 2025, bajo los códigos KB5070879 al KB5070887, y sugirió a los administradores que, si no pueden aplicar el parche de inmediato, deshabiliten temporalmente el rol WSUS o bloqueen los puertos 8530 y 8531.
Sin embargo, el escenario empeoró rápidamente. La empresa de Países Bajos Eye Security confirmó los primeros ataques exitosos, que datan del 24 de octubre, detectando actividad que difería del exploit público. “El ataque que observamos es más complejo y apunta a actores con recursos avanzados, posiblemente estatales o grupos de ransomware sofisticados”, explicó Piet Kerkhofs, CTO de la compañía.
La firma estadounidense Huntress también reportó intrusiones en al menos cuatro clientes, en las que los atacantes usaron PowerShell para realizar tareas de reconocimiento, listar usuarios de dominio, extraer configuraciones de red y enviar la información recopilada a un webhook remoto. A pesar de que WSUS no suele estar expuesto a Internet, Huntress estimó que unos 25 servidores en su base de clientes eran susceptibles.
Por su parte, la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) añadió la vulnerabilidad a su catálogo de fallas explotadas activamente, exigiendo a las agencias federales de ese país aplicar el parche antes del 14 de noviembre de 2025. En su comunicado, CISA alertó que “este tipo de vulnerabilidades son vectores frecuentes de ataque para actores maliciosos y representan riesgos significativos para la infraestructura federal”.
Según el grupo de monitoreo Shadowserver, existen más de 2.800 instancias de WSUS expuestas en línea, lo que refuerza la urgencia de la actualización. Microsoft confirmó que este parche fuera de banda reemplaza cualquier versión anterior y requiere reiniciar el sistema para completar la mitigación.