Vulnerabilidad critica en Windows Server Update Service Microsoft Martes de Parches Octubre (WSUS)
Microsoft ha publicado un nuevo aviso de seguridad recientemente para mitigar por completo la vulnerabilidad CVE-2025-59287, que aunque ya había sido abordada y publicada en su Martes de parches de este mes, las mitigaciones que fueron publicadas no corrigieron por completo la vulnerabilidad. Es importante mencionar que Microsoft volvió a parchear esta falla debido a que actualmente está bajo explotación, y además han publicado pruebas de concepto (PoC) que reafirman la posible explotación de la vulnerabilidad.
Esta vulnerabilidad solo afecta a Servidores Windows que tengan activada la función Windows Uptade Services (WSUS), que es una función que actúa como un repositorio local de parches de seguridad. Se encarga de distribuir actualizaciones a los equipos o productos dentro las redes corporativas de los servidores. La falla se originó por fallas de deserialización insegura de datos en el mecanismo AuthorizationCookie. Lo que convirtió a Windows Server Update en un canal de comunicación inseguro entre los equipos y productos. Para lograr la deserialización insegura de los datos, es necesarios enviar solicitudes o entradas serializadas que necesiten validaciones AuthorizationCookie, estas provocaran que el sistema no valide correctamente el origen y automáticamente ejecutara la entrada.
Autores de amenazas pueden aprovecharse de la vulnerabilidad para enviar este tipo de solicitudes que ocasionaran que los servidores afectados ejecuten actualizaciones maliciosas en equipos dentro de la red comprometida. La explotación de esta vulnerabilidad en los sistemas afectados traería impactos significativos, debido a los atacantes obtendrán privilegios de administrador, podrán moverse lateralmente en el sistema, podrán modificar configuraciones, acceder a servicios crítico, podrán permanecer infiltrados en el sistema por largos periodos, modificar tareas programas, ejecutar malwares y recopilar credenciales de autentificación. Podrán aprovecharse de la vulnerabilidad de forma remota y sin necesidad de contar con credenciales de autentificación.
Por lo que se recomienda actualizar a las ultimas versiones parcheadas que mitigan esta CVE, para así evitar los impactos que podrían ocasionarse con la explotación de vulnerabilidades criticas como esta. El CVE tiene una puntuación de CVSS de 9.8 clasificándose como una vulnerabilidad critica debido a los impactos que puede ocasionar.
Versiones Afectadas
|
Producto |
Versión Afectada |
Versión Corregida |
|
Windows Server 2019 |
10.0.17763.0 |
10.0.17763.7922 |
|
Windows Server 2019 (Server Core installation) |
10.0.17763.0 |
10.0.17763.7922 |
|
Windows Server 2022 |
10.0.20348.0 |
10.0.20348.4297 |
|
Windows Server 2025 (Server Core installation) |
10.0.26100.0 |
10.0.26100.6905 |
|
Windows Server 2022, 23H2 Edition (Server Core installation) |
10.0.25398.0 |
10.0.25398.1916 |
|
Windows Server 2025 |
10.0.26100.0 |
10.0.26100.6905 |
|
Windows Server 2016 |
10.0.14393.0 |
10.0.14393.8524 |
|
Windows Server 2016 (Server Core installation) |
10.0.14393.0 |
10.0.14393.8524 |
|
Windows Server 2012 |
6.2.9200.0 |
6.2.9200.25728 |
|
Windows Server 2012 (Server Core installation) |
6.2.9200.0 |
6.2.9200.25728 |
|
Windows Server 2012 R2 |
6.3.9600.0 |
6.3.9600.22826 |
|
Windows Server 2012 R2 (Server Core installation) |
6.3.9600.0 |
6.3.9600.22826 |
Recomendaciones
-
En caso de contar con alguna de las versiones vulnerables es recomendable actualizar a la versión parcheada.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Microsoft lanza una actualización de seguridad fuera de banda para mitigar la vulnerabilidad del servicio de actualización de Windows Server, CVE-2025-59287. (2025, Octubre 24). CISA. Recuperado el 27 de Octubre de 2025, en: https://www.cisa.gov/news-events/alerts/2025/10/24/microsoft-releases-out-band-security-update-mitigate-windows-server-update-service-vulnerability-cve
- The Hacker News. (2025, Octubre 24). Newly patched critical Microsoft WSUS flaw comes under active exploitation. Recuperado el 27 de Octubre de 2025, en: https://thehackernews.com/2025/10/microsoft-issues-emergency-patch-for.html
- Dragora. (2025, Octubre 25). Parche urgente: CVE-2025-59287 — vulnerabilidad crítica en WSUS - Underc0de Blog. Underc0de Blog. Recuperado el 27 de Octubre de 2025, en: https://blog.underc0de.org/parche-urgente-cve-2025-59287-vulnerabilidad-critica-en-wsus/
