Microsoft lanzó el jueves actualizaciones de seguridad fuera de pandilla para parchear una vulnerabilidad de alcance crítica del Servicio de puesta al día de Windows Server (WSUS) con un exploit de prueba de concepto (Poc) habitable públicamente y que ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-59287 (Puntuación CVSS: 9,8), una defecto de ejecución remota de código en WSUS que fue solucionada originalmente por el titán tecnológico como parte de su puesta al día Patch Tuesday publicada la semana pasada.
Tres investigadores de seguridad, MEOW, f7d8c52bec79e42795cf15888b85cbad y Markus Wultange de CODE WHITE GmbH, han sido reconocidos por descubrir e informar del error.
La deficiencia se refiere a un caso de deserialización de datos no confiables en WSUS que permite a un atacante no competente ejecutar código a través de una red. Vale la pena señalar que la vulnerabilidad no afecta a los servidores Windows que no tienen habilitada la función de servidor WSUS.
En un escena de ataque hipotético, un atacante remoto y no autenticado podría despachar un evento diseñado que desencadene la deserialización de objetos inseguros en un “mecanismo de serialización heredado”, lo que llevaría a la ejecución remota de código.
Según el investigador de seguridad de HawkTrace, Batuhan Er, el problema “surge de la deserialización insegura de los objetos AuthorizationCookie enviados al punto final GetCookie(), donde los datos de las cookies cifradas se descifran usando AES-128-CBC y después se deserializan a través de BinaryFormatter sin la brío de tipo adecuada, lo que permite la ejecución remota de código con privilegios de SISTEMA”.
Vale la pena señalar que el propio Microsoft recomendó anteriormente a los desarrolladores que dejaran de usar BinaryFormatter para la deserialización, oportuno al hecho de que el método no es seguro cuando se usa con entradas que no son de confianza. Seguidamente se eliminó una implementación de BinaryFormatter de .NET 9 en agosto de 2024.
 |
| Ejecutable .NET implementado a través de CVE‑2025‑59287 |
“Para encarar de modo integral CVE-2025-59287, Microsoft ha enérgico una puesta al día de seguridad fuera de pandilla para las siguientes versiones compatibles de Windows Server: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (instalación de Server Core) y Windows Server 2025”, dijo Redmond en una puesta al día.
Una vez instalado el parche, se recomienda reiniciar el sistema para que la puesta al día surta intención. Si aplicar la opción fuera de pandilla no es una opción, los usuarios pueden tomar cualquiera de las siguientes acciones para defenderse contra la defecto:
- Deshabilite la función del servidor WSUS en el servidor (si está cobrador)
- Bloquee el tráfico entrante a los puertos 8530 y 8531 en el firewall del host
“NO deshaga ninguna de estas soluciones hasta que haya instalado la puesta al día”, advirtió Microsoft.
El explicación se produce cuando el Centro Doméstico de Seguridad Cibernética de Holanda (NCSC) dijo que se enteró por un “socio confiable de que se observó un exageración de CVE-2025-59287 el 24 de octubre de 2025”.
Eye Security, que notificó al NCSC-NL sobre la explotación en estado salvaje, dijo que observó por primera vez que se abusaba de la vulnerabilidad a las 06:55 am UTC para propalar una carga útil codificada en Base64 dirigida a un cliente incógnito. La carga útil, un ejecutable .NET, “toma el valía del encabezado de solicitud ‘aaaa’ y lo ejecuta directamente usando cmd.exe”.
“Esta es la carga útil que se envía a los servidores, que utiliza el encabezado de solicitud con el nombre ‘aaaa’ como fuente para el comando que se ejecutará”, dijo Piet Kerkhofs, CTO de Eye Security, a The Hacker News. “Esto evita que los comandos aparezcan directamente en el registro”.
Cuando se le preguntó si la explotación podría activo ocurrido ayer que hoy, Kerkhofs señaló que “el PoC de HawkTrace se lanzó hace dos días y puede usar una carga útil habitual ysoserial .NET, así que sí, las piezas para la explotación estaban ahí”.
Cuando se le contactó para hacer comentarios, un portavoz de Microsoft dijo a la publicación que “volvemos a editar este CVE a posteriori de identificar que la puesta al día original no mitigó completamente el problema. Los clientes que instalaron las últimas actualizaciones ya están protegidos.
La compañía igualmente enfatizó que el problema no afecta a los servidores que no tienen habilitada la función de servidor WSUS y recomendó a los clientes afectados que sigan las instrucciones en su página CVE.
Dada la disponibilidad de un exploit PoC y la actividad de explotación detectada, es esencial que los usuarios apliquen el parche lo ayer posible para mitigar la amenaza. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) igualmente agregó la defecto a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que la remedien ayer del 14 de noviembre de 2025.
(La historia se actualizó a posteriori de la publicación con información adicional de Eye Security y una respuesta de Microsoft).
