Una vulnerabilidad crítica recientemente parcheada en Windows Server Update Services (WSUS), identificada como CVE-2025-59287, está siendo explotada activamente para desplegar el backdoor ShadowPad en servidores Windows. La campaña, permite a atacantes obtener acceso con privilegios de sistema y comprometer infraestructuras de actualización completas.
Investigadores de AhnLab han identificado una campaña en la que atacantes están aprovechando la vulnerabilidad crítica CVE-2025-59287 en Windows Server Update Services (WSUS) para desplegar el malware ShadowPad en servidores Windows. La vulnerabilidad, con puntuación CVSS de 9,8, permite la ejecución remota de código con privilegios de SYSTEM sin autenticación previa, lo que convierte a los servidores WSUS expuestos en un objetivo especialmente atractivo.
WSUS es la pieza central de muchas organizaciones para distribuir parches y actualizaciones de Microsoft de forma controlada. Si un atacante toma el control de este servicio, no solo compromete ese servidor, sino que potencialmente puede utilizarlo como palanca para llegar al resto de equipos que confían en él para actualizarse. En la campaña descrita, ShadowPad se emplea como backdoor de propósito general: permite a los atacantes mantener acceso persistente, ejecutar comandos y desplegar nuevas cargas maliciosas en los sistemas afectados.
ShadowPad no es una amenaza nueva. Es considerado el sucesor de PlugX y se ha vinculado históricamente a operaciones de ciberespionaje avanzadas, principalmente de origen chino. Su arquitectura modular y su uso prolongado en múltiples incidentes lo convierten en una herramienta muy versátil para movimientos laterales, robo de información y otras actividades de larga duración dentro de redes comprometidas. En este caso, se utiliza como carga «de valor» una vez explotada la vulnerabilidad en WSUS.
El incidente llega en un momento delicado para WSUS. El 20 de septiembre de 2024 Microsoft anunció oficialmente que WSUS queda «en desuso» (deprecated): seguirá incluido y soportado, por ejemplo, en Windows Server 2025, pero no recibirá nuevas funcionalidades y la compañía anima a migrar hacia soluciones de gestión de actualizaciones basadas en la nube, como Azure Update Manager o Windows Update for Business. Esto no significa que el producto esté en «fin de vida» (EOL), pero sí que su futuro está limitado y que únicamente se esperan correcciones de errores y parches de seguridad.
Este contexto crea una combinación preocupante, una pieza de infraestructura crítica, todavía muy desplegada, con una vulnerabilidad grave bajo explotación activa, y un fabricante que ya ha marcado el producto como en retirada estratégica. Para muchas organizaciones, WSUS seguirá siendo necesario durante años, pero el margen para seguir ignorando tanto los parches como la planificación de una alternativa se ha reducido drásticamente.
Más información
- ShadowPad Malware Actively Exploits WSUS Vulnerability for Full System Access: https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html
- Windows Server flaw targeted by hackers to spread malware: https://www.techradar.com/pro/security/windows-server-flaw-targeted-by-hackers-to-spread-malware-heres-what-we-know
- US Government orders patching of critical Windows Server security issue: https://www.techradar.com/pro/security/us-government-orders-patching-of-critical-windows-server-security-issue
- Windows Server Update Services (WSUS) deprecation – Microsoft Tech Community https://techcommunity.microsoft.com/blog/windows-itpro-blog/windows-server-update-services-wsus-deprecation/4250436
La entrada ShadowPad explota vulnerabilidad crítica en WSUS se publicó primero en Una Al Día.
