Microsoft lanzó el jueves una actualización de seguridad fuera de banda que corrige una vulnerabilidad de gravedad crítica en Windows Server Update Service (WSUS) utilizando un exploit de prueba de concepto (POC) disponible públicamente. Este exploit se ha utilizado en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-59287 (puntuación CVSS: 9,8). Se trata de una falla de ejecución remota de código en WSUS que fue solucionada originalmente por el gigante tecnológico como parte de una actualización del martes de parches publicada la semana pasada.
A tres investigadores de seguridad, MEOW, f7d8c52bec79e42795cf15888b85cbad y Markus Wultange de CODE WHITE GmbH, se les atribuye el descubrimiento y la notificación de este error.
Esta deficiencia se refiere a casos en los que WSUS deserializa datos que no son de confianza, lo que permite que un atacante no autorizado ejecute código a través de la red. Tenga en cuenta que esta vulnerabilidad no afecta a los servidores Windows que no tienen habilitada la función de servidor WSUS.
En un escenario de ataque hipotético, un atacante remoto no autenticado podría enviar un evento diseñado que desencadene una deserialización de objetos insegura en un «mecanismo de serialización tradicional», lo que llevaría a la ejecución remota de código.
Según Batuhan Er, investigador de seguridad de HawkTrace, el problema se debe a una «deserialización insegura del objeto AuthorizationCookie enviado al punto final GetCookie(). Los datos cifrados de la cookie se descifran utilizando AES-128-CBC y luego se deserializa mediante un BinaryFormatter sin la validación de tipo adecuada, lo que permite la ejecución remota de código con privilegios de SISTEMA».
Vale la pena señalar que el propio Microsoft recomendó anteriormente que los desarrolladores dejen de usar BinaryFormatter para la deserialización debido al hecho de que no es seguro usar BinaryFormatter con entradas que no son de confianza. Luego, la implementación de BinaryFormatter se eliminó de .NET 9 en agosto de 2024.
Ejecutables .NET implementados mediante CVE‑2025‑59287
«Para abordar de manera integral CVE-2025-59287, Microsoft está actualizando las versiones compatibles de Windows Server: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (instalación de Server Core) y Windows Server. Hemos lanzado una actualización de seguridad fuera de banda para 2025», dijo Redmond. Actualizar.
Después de instalar el parche, le recomendamos reiniciar su sistema para que la actualización surta efecto. Si no se puede aplicar fuera de banda, los usuarios pueden tomar una de las siguientes acciones para protegerse contra defectos:
Deshabilite la función del servidor WSUS en el servidor (si está habilitada) Bloquee el tráfico entrante a los puertos 8530 y 8531 en el firewall del host
«No revierta estas soluciones hasta que haya instalado las actualizaciones», advierte Microsoft.
El desarrollo se produce después de que el Centro Nacional de Seguridad Cibernética de Holanda (NCSC) anunciara que «se había enterado por un socio de confianza de que se observó un exploit de CVE-2025-59287 el 24 de octubre de 2025».
Eye Security, que notificó al NCSC-NL sobre el exploit en la naturaleza, dijo que había observado que la vulnerabilidad se utilizaba para lanzar una carga útil codificada en Base64 dirigida a clientes anónimos. La carga útil, un archivo ejecutable .NET, «toma el valor del encabezado de solicitud ‘aaaa’ y lo ejecuta directamente usando cmd.exe».
Dada la disponibilidad de exploits PoC, es importante que los usuarios apliquen parches lo antes posible para mitigar posibles amenazas.
Source link
