Una nueva vulnerabilidad crítica afecta a Windows Server Update Services (WSUS) y se está explotando activamente. Microsoft lanzó un parche de emergencia, mientras CISA advierte el alto riesgo de compromiso generalizado si no se actúa de inmediato.
Windows Server Update Services (WSUS) es una plataforma esencial utilizada por las organizaciones para gestionar actualizaciones de productos Microsoft de manera centralizada. Recientemente, se ha descubierto la vulnerabilidad CVE-2025-59287, la cual permite la ejecución remota de código (RCE) sin autenticación, que ya está siendo aprovechada por actores maliciosos según la CISA y firmas como Huntress.
La vulnerabilidad CVE-2025-59287 en WSUS es un fallo de deserialización de datos no confiables, presente en la función GetCookie(). Exploitable a través de cookies cifradas maliciosas, permite que un atacante obtenga RCE con privilegios de sistema en servidores expuestos a los puertos 8530 y 8531. Lo alarmante es que no requiere interacción previa ni privilegios para explotarla, y está siendo utilizada activamente en ataques en entornos de producción.
El riesgo principal es que un WSUS comprometido puede distribuir actualizaciones manipuladas a todos los equipos cliente conectados en la red. Esto abre la puerta a compromisos masivos, instalación de malware y escalada persistente en grandes infraestructuras. Además, su inclusión en la lista KEV de CISA resalta la urgencia, especialmente en entornos gubernamentales y empresariales.
Microsoft publicó un parche de emergencia y se recomienda implementarlo inmediatamente. Como medida defensiva adicional, debe restringirse el acceso al WSUS sólo a los hosts de gestión y servidores de Microsoft Update necesarios, bloqueando todo tráfico entrante a los puertos TCP 8530 y 8531. CISA exige a las agencias federales aplicar el parche antes del 14 de noviembre, pero esta medida es igualmente crítica para cualquier organización que utilice WSUS.
CVE-2025-59287 representa una amenaza real y crítica para entornos Windows empresariales. La existencia de exploits públicos y ataques en marcha obliga a aplicar el parche sin demora, reforzar la segmentación de red y monitorear activamente cualquier actividad sospechosa relacionada con la infraestructura de WSUS.
Más información
- CVE-2025-59287 (NVD): https://nvd.nist.gov/vuln/detail/CVE-2025-59287
- Actively Exploited WSUS Bug Added to CISA KEV List (Infosecurity Magazine): https://www.infosecurity-magazine.com/news/actively-exploited-wsus-bug-cisa/
- KEV Catalog – CISA: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
