Explotación activa en campo de la ejecución remota de código (CVE-2025-59287) en Microsoft WSUS (actualizado el 28 de octubre)

Resumen ejecutivo

El 14 de octubre de 2025, se identificó una vulnerabilidad crítica de ejecución remota de código (RCE) no autenticada en los Servicios de actualización de Windows Server (WSUS) de Microsoft, un componente empresarial central para la gestión de parches. El parche inicial de Microsoft durante el Patch Tuesday de octubre de 2025 no abordó completamente la falla, lo que requirió una actualización de seguridad de emergencia fuera de banda lanzada el 23 de octubre de 2025. Pocas horas después de la actualización de emergencia, Unit 42 y otros investigadores de seguridad observaron una explotación activa en campo. La combinación de una RCE explotable de forma remota y no autenticada en un servicio de infraestructura central, junto con la explotación activa observada en campo, representa un riesgo grave y urgente.

Los detalles clave de la amenaza se resumen a continuación:

• Vulnerabilidad: Ejecución remota de código (RCE) crítica en Windows Server Update Services (WSUS), registrada como CVE-2025-59287 (CVSS 9.8).
• Impacto: Permite a un atacante remoto no autenticado ejecutar código arbitrario con privilegios de sistema en los servidores afectados.
• Estado: Explotada activamente. Se observó a actores de amenazas explotando la vulnerabilidad pocas horas después de que Microsoft lanzara un parche de emergencia el 23 de octubre.
• Urgencia: La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. agregó esta vulnerabilidad a su Catálogo de vulnerabilidades explotadas conocidas (KEV) el 24 de octubre, subrayando el riesgo inmediato.

Para las organizaciones que no pueden implementar los parches de emergencia de inmediato, Microsoft ha recomendado soluciones alternativas temporales para mitigar el riesgo.

Los clientes de Palo Alto Networks están mejor protegidos contra la actividad relacionada con CVE-2025-59287 a través de los siguientes productos y servicios:

• Cortex XDR y XSIAM
• Next-Generation Firewall con Advanced Threat Prevention

El equipo de Respuesta a Incidentes de Unit 42 también puede ser contactado para ayudar con una intrusión o para proporcionar una evaluación proactiva para reducir su riesgo.

Detalles de CVE-2025-59287

WSUS es una herramienta fundamental para los administradores de TI, que permite la gestión centralizada y la distribución de actualizaciones de productos de Microsoft en las redes corporativas. Su papel como fuente confiable de parches de software lo convierte en un objetivo de alto valor; comprometer un servidor WSUS puede proporcionar un punto de apoyo para el movimiento lateral y la intrusión generalizada en la red.

La vulnerabilidad se basa en una "deserialización insegura de datos no confiables". Los investigadores de seguridad han identificado múltiples rutas de ataque, incluido el envío de una solicitud especialmente diseñada al endpoint GetCookie(), lo que provoca que el servidor deserialice incorrectamente un objeto AuthorizationCookie utilizando el inseguro BinaryFormatter. Otra ruta apunta al ReportingWebService para desencadenar la deserialización insegura a través de SoapFormatter. En ambos casos, un atacante remoto no autenticado puede engañar al sistema para que ejecute código malicioso con el más alto nivel de privilegios del sistema.

El alcance de esta vulnerabilidad es específico para sistemas con el rol WSUS habilitado:

• Software afectado: Microsoft Windows Server 2012, 2012 R2, 2016, 2019, 2022 (incluida la edición 23H2) y 2025.
• Condición requerida: La vulnerabilidad solo afecta a los servidores donde está habilitado el rol de servidor WSUS. Esta característica no está habilitada de forma predeterminada.

Alcance actual del ataque usando CVE-2025-59287

Tras la divulgación pública de un exploit de prueba de concepto, Unit 42, además de otras firmas de seguridad, detectó rápidamente escaneo y explotación de activos.

El análisis de los ataques observados por Unit 42 revela una metodología consistente centrada en el acceso inicial y el reconocimiento de la red interna.

• Acceso inicial: Los atacantes apuntan a instancias de WSUS expuestas públicamente en sus puertos TCP predeterminados, 8530 (HTTP) y 8531 (HTTPS).
• Ejecución: Se ejecutan comandos maliciosos de PowerShell a través de procesos primarios específicos. Las cadenas de procesos forenses observadas incluyen wsusservice.exe → cmd.exe → cmd.exe → powershell.exe y w3wp.exe → cmd.exe → cmd.exe → powershell.exe.
• Reconocimiento: La carga útil inicial ejecuta comandos para recopilar inteligencia sobre el entorno de la red interna, incluidos whoami, net user /domain e ipconfig /all. Este conjunto inicial de comandos está diseñado para mapear rápidamente la estructura interna del dominio e identificar cuentas de usuario de alto valor, proporcionando al atacante un plan inmediato para el movimiento lateral.
• Exfiltración de datos: La información recopilada se exfiltra a un endpoint remoto de Webhook.site controlado por el atacante mediante una carga útil de PowerShell que intenta Invoke-WebRequest y recurre a curl.exe si es necesario.

Cortex Xpanse identificó aproximadamente 5,500 instancias de WSUS expuestas a Internet, proporcionando una métrica tangible de la superficie de ataque global. Este TTP centrado en el reconocimiento indica que la explotación inicial es precursora de una intrusión más amplia en la red, lo que hace que la remediación inmediata y la búsqueda de amenazas sean primordiales.

Guía provisional

Microsoft ha recomendado soluciones alternativas temporales para mitigar el riesgo para las organizaciones que no pueden implementar los parches de emergencia de inmediato. Estas medidas deben considerarse soluciones provisionales hasta que se pueda completar la aplicación de parches.

Recomendamos que las organizaciones afectadas sigan esta guía para abordar el problema y que consulten regularmente el lenguaje oficial de Microsoft para obtener actualizaciones.

Hasta el 27 de octubre, la guía consistía en las siguientes mitigaciones:

1. Deshabilitar el rol de servidor WSUS: Deshabilitar el rol WSUS en el servidor elimina por completo el vector de ataque. Sin embargo, esto evitará que el servidor administre y distribuya actualizaciones a los sistemas cliente.
2. Bloquear puertos de alto riesgo: Bloquear todo el tráfico entrante a los puertos TCP 8530 y 8531 en el firewall a nivel de host. Como recomienda Microsoft, esto elimina el vector de ataque, pero evitará que el servidor administre y distribuya actualizaciones.

Consultas de búsqueda de amenazas gestionada de Unit 42

El equipo de Búsqueda de Amenazas Gestionada de Unit 42 continúa rastreando cualquier intento de explotar este CVE en todos nuestros clientes de Servicios Gestionados, utilizando Cortex XDR y la consulta XQL a continuación. Los clientes de Cortex XDR que no aprovechan los Servicios Gestionados de Unit 42 también pueden usar la siguiente consulta XQL para buscar signos de explotación.

Conclusión

Basado en la cantidad de información disponible públicamente, la facilidad de uso y la efectividad de este exploit, Palo Alto Networks recomienda encarecidamente seguir la guía de Microsoft para proteger su organización.

Esta vulnerabilidad y su posterior armamentización sirven como ilustración de cómo las fallas de configuración permiten la explotación. Si bien la vulnerabilidad de WSUS proporciona el vector técnico, su impacto potencialmente grave es consecuencia directa de fallas en la higiene de seguridad.

La exposición de un servicio orientado internamente, como WSUS, a la Internet pública constituye una mala configuración significativa que eleva una vulnerabilidad de servidor localizado a una potencial intrusión en toda la empresa y en la cadena de suministro. Esto subraya que la gestión rigurosa de activos y la segmentación disciplinada de la red son controles de seguridad críticos, esenciales para mitigar la escalada de fallas aisladas a brechas organizacionales sistémicas.

Palo Alto Networks ha compartido nuestros hallazgos con nuestros colegas miembros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para implementar rápidamente protecciones a sus clientes e interrumpir sistemáticamente a los actores cibernéticos maliciosos. Obtenga más información sobre la Cyber Threat Alliance.

Los clientes de Palo Alto Networks están mejor protegidos por nuestros productos, como se detalla a continuación. Actualizaremos este informe de amenazas a medida que haya más información relevante disponible.

Protecciones de productos de Palo Alto Networks para CVE-2025-59287

Los clientes de Palo Alto Networks pueden aprovechar una variedad de protecciones y actualizaciones de productos para ayudar a identificar y defenderse de esta amenaza.

Si cree que puede haber sido comprometido o tiene un asunto urgente, póngase en contacto con el equipo de Respuesta a Incidentes de Unit 42 o llame a:

• América del Norte: Gratuito: +1 (866) 486-4842 (866.4.UNIT42)
• Reino Unido: +44.20.3743.3660
• Europa y Medio Oriente: +31.20.299.3130
• Asia: +65.6983.8730
• Japón: +81.50.1790.0200
• Australia: +61.2.4062.7950
• India: 000 800 050 45107

Advanced Threat Prevention

El Advanced Threat Prevention con la suscripción de seguridad Advanced Threat Prevention puede ayudar a bloquear los ataques siguiendo las mejores prácticas (best practices) a través de la siguiente firma de Threat Prevention 96657.

Cortex XDR y XSIAM

Cortex XDR y XSIAM ayudan a proteger contra actividades posteriores a la explotación utilizando el enfoque de protección de múltiples capas.

Indicadores de compromiso

• hxxp://webhook\[.\]site/22b6b8c8-2e07-4878-a681-b772e569aa6a