Microsoft ha revelado una nueva vulnerabilidad critica afecta a Windows Server Update Services (WSUS), la plataforma utilizada por las organizaciones para gestionar actualizaciones de productos de la compañía. El fallo, identificado como CVE-2025-59287, ya está siendo explotado activamente por atacantes, según confirmó la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de Estados Unidos.
La CISA añadió la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas y emitió una alerta urgente para organizaciones con servidores WSUS habilitados. Además, instó a las agencias federales a aplicar los parches de seguridad lanzados el 23 de octubre por Microsoft, advirtiendo que “un agente no autenticado podría ejecutar código remoto con privilegios del sistema” si no se corrige la falla.
CVE-2025-59287: una vulnerabilidad de deserialización abre la puerta a ataques remotos
De acuerdo con el boletín de seguridad de Microsoft del 14 de octubre, el fallo se origina en un problema de deserialización de datos no confiables (CWE-502: Deserialization of Untrusted Data). Esto permite que un atacante remoto, sin autenticación previa, envíe un evento manipulado que provoque la ejecución de código arbitrario en el servidor WSUS.
Aunque Microsoft publicó un primer parche para la falla de seguridad el 10 de octubre, éste resultó ineficaz, lo que llevó a la empresa a lanzar una actualización de emergencia fuera de banda (Out-of-Band, OOB) el 23 de octubre. Paralelamente, se recomendaron mitigaciones temporales como deshabilitar el rol WSUS o bloquear los puertos TCP 8530 y 8531 hasta aplicar el nuevo parche.
Impacto y versiones afectadas: el riesgo detrás de la falla crítica en Windows Server
El impacto potencial de esta vulnerabilidad es crítico: un WSUS comprometido podría distribuir actualizaciones manipuladas a todos los equipos cliente conectados, posibilitando infecciones masivas, instalación de malware y escalada persistente en grandes infraestructuras.
Detalles clave:
- Acceso remoto sin autenticación: permite a un atacante enviar un evento malicioso que ejecuta código con privilegios del sistema.
- Amplio rango de versiones afectados: va desde Windows Server 2012, 2012 R2, 2016, 2019, 2022 y 2025 con el rol WSUS habilitado.
- Actualización inicial insuficiente: la corrección original fue incompleta, lo que motivó el lanzamiento del parche fuera de ciclo (“out-of-band” OOB) del 23 de octubre.
La CISA ha ordenado, ante este panorama, a las agencias federales instalar el parche antes del 14 de noviembre, aunque la medida es crítica para cualquier organización que utilice WSUS.
Cómo proteger tus servidores WSUS
- Aplicar el parche sin demora: instalar la actualización fuera de ciclo correspondiente al CVE-2025-59287 (por ejemplo, KB5070892 del 24 de octubre).
- Verificar el rol WSUS: si el servidor no tiene habilitado este rol, no está expuesto.
- Implementar mitigaciones temporales:
- Deshabilitar WSUS hasta completar la actualización.
- Bloquear los puertos TCP 8530 y 8531 en el firewall.
- Revisar la exposición a internet: asegurarse de que ningún servidor WSUS sea accesible públicamente.
Microsoft subraya que “los servidores Windows sin el rol WSUS habilitado no son vulnerables”.
