Vulnerabilidad RCE en WSUS: análisis profundo de CVE-2025-59287

Informatec Digital » Recursos » Vulnerabilidad RCE en WSUS: análisis profundo de CVE-2025-59287

La reciente vulnerabilidad RCE en WSUS registrada como CVE-2025-59287 ha encendido todas las alarmas en departamentos de TI, administraciones públicas y empresas que dependen del ecosistema Microsoft para gestionar sus parches. No estamos ante un fallo menor: se trata de un problema de deserialización insegura que permite a un atacante remoto y no autenticado ejecutar código con privilegios de sistema en servidores críticos.

En este artículo vas a encontrar una explicación completa, práctica y aterrizada sobre qué ocurre exactamente con CVE-2025-59287 en WSUS, cómo se descubrió, por qué el primer parche fue insuficiente, qué técnicas de ataque se están observando en el mundo real, qué sistemas están afectados, qué medidas inmediatas debes aplicar y cómo puedes apoyarte en herramientas de seguridad avanzadas para detectar y responder ante intentos de explotación.

Contexto y gravedad de la vulnerabilidad RCE en WSUS (CVE-2025-59287)

El 14 de octubre de 2025 Microsoft publicó su paquete habitual de actualizaciones mensuales, incluyendo una corrección parcial para una vulnerabilidad crítica de ejecución remota de código (RCE) en Windows Server Update Services. Sin embargo, esa primera actualización no cerraba por completo el fallo, por lo que el 23 de octubre Microsoft tuvo que lanzar una actualización fuera de banda (OOB) de emergencia específicamente orientada a mitigar la brecha en los servicios web de WSUS.

Pocas horas después de liberarse la actualización de emergencia, diversos equipos de investigación, como Unit 42 de Palo Alto Networks y otros proveedores de seguridad, empezaron a observar actividad de explotación real en servidores WSUS expuestos. La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) añadió CVE-2025-59287 a su catálogo de vulnerabilidades explotadas de forma conocida (KEV) el 24 de octubre, lo que confirma que no se trata de una amenaza teórica, sino de un fallo que ya están aprovechando actores maliciosos.

La vulnerabilidad se ha catalogado con una puntuación CVSSv3 de 9,8, el rango más alto para fallos críticos. Permite que un atacante remoto no autenticado ejecute código arbitrario con privilegios de SYSTEM en el servidor WSUS afectado, convirtiéndolo en un punto de apoyo privilegiado dentro de la red corporativa. Desde ahí, la puerta queda abierta a despliegues de malware masivo, ransomware, robo de credenciales o manipulación del ciclo de actualizaciones.

Qué es WSUS y por qué es un objetivo tan sensible

Windows Server Update Services (WSUS) es el componente que permite a las organizaciones centralizar la descarga, aprobación y distribución de parches de Microsoft hacia los equipos cliente. Es, en la práctica, la pieza que orquesta buena parte de la higiene de parches de la infraestructura Windows de una empresa.

Precisamente por este rol tan estratégico, un WSUS comprometido se convierte en un vector ideal para extender intrusiones a toda la red. Quien controla WSUS puede inyectar actualizaciones maliciosas, bloquear parches de seguridad, modificar la cadencia de despliegue o usar el servidor como pivote para moverse lateralmente por el dominio.

Es importante remarcar que el rol de servidor WSUS no viene activado por defecto en Windows Server. Solo los equipos donde se ha instalado y configurado este rol se encuentran en riesgo directo. Aun así, plataformas como Cortex Xpanse han identificado en torno a 5.500 instancias de WSUS expuestas a Internet, lo que da una idea del tamaño potencial de la superficie de ataque global.

Detalles técnicos de CVE-2025-59287: deserialización insegura y RCE

El corazón del problema en CVE-2025-59287 reside en una deserialización insegura de datos no confiables dentro de los servicios web de WSUS. De forma resumida, WSUS procesa ciertos objetos de autorización (cookies y estructuras usadas en los servicios de cliente y de reporte) con mecanismos de serialización de .NET que no verifican correctamente el tipo y contenido de lo que deserializan.

Entre los puntos críticos identificados, destaca el tratamiento del objeto AuthorizationCookie asociado a determinadas peticiones SOAP. Al recibir solicitudes especialmente manipuladas hacia endpoints de WSUS, el servidor intenta descifrar y deserializar datos controlados por el atacante mediante BinaryFormatter o SoapFormatter, ambos componentes de .NET conocidos desde hace años por su peligrosidad cuando se usan con datos no confiables.

Un escenario típico de ataque consiste en dirigir una petición maliciosa hacia un endpoint como /ClientWebService/Client.asmx o hacia los servicios de reporte (ReportingWebService). En el momento en que el servidor WSUS procesa la cookie o el payload SOAP y ejecuta BinaryFormatter.Deserialize() o rutas equivalentes, se dispara una cadena de objetos creada ad hoc por el atacante. Esta cadena aprovecha constructores legítimos y métodos especiales (como deserializadores personalizados) para acabar lanzando comandos arbitrarios con los permisos del servicio WSUS, es decir, con nivel de SYSTEM.

La vulnerabilidad afecta a sistemas Windows Server que tienen implantado el rol de WSUS, incluyendo Windows Server 2012, 2012 R2, 2016, 2019, 2022 (incluida la edición 23H2) y 2025. Aquellos servidores que no exponen WSUS o que no tienen ese rol habilitado no son vulnerables a este fallo en concreto, aunque obviamente pueden estar afectados por otros problemas de seguridad.

Alcance real de los ataques detectados y metodología de los actores

Tras la publicación de un exploit de prueba de concepto (PoC) para CVE-2025-59287, distintos proveedores comenzaron a ver escaneos y ataques automatizados dirigidos específicamente a instancias de WSUS accesibles desde Internet. Estas campañas suelen formar parte de fases iniciales de intrusiones más amplias, a menudo catalogadas como pre-ransomware, donde el objetivo es ganar acceso, consolidar persistencia y explorar el entorno antes de lanzar un cifrado masivo.

En la fase de acceso inicial, los atacantes se centran en los puertos TCP 8530 (HTTP) y 8531 (HTTPS), usados comúnmente por WSUS, aunque en algunas configuraciones se utilizan también los puertos 80 o 443. Se detecta escaneo a gran escala para identificar qué instancias responden como servidores WSUS y, a continuación, se lanza el payload diseñado para explotar la deserialización insegura.

Una vez consiguen ejecutar código en el servidor, lo normal es que aparezcan procesos de cmd.exe y powershell.exe colgando de procesos como wsusservice.exe o w3wp.exe (el proceso de IIS). Se han observado cadenas de procesos forenses del estilo wsusservice.exe → cmd.exe → cmd.exe → powershell.exe o w3wp.exe → cmd.exe → cmd.exe → powershell.exe, muy indicativas de ejecución de comandos bajo el contexto del servicio WSUS o del pool de aplicaciones asociado.

La carga útil inicial suele centrarse en recopilar información sobre el entorno, ejecutando órdenes como whoami, net user /domain o ipconfig /all para mapear rápidamente privilegios, estructura del dominio y topología de red. Con estos datos, los atacantes valoran posibles movimientos laterales, objetivos de alto valor y la viabilidad de escalar la intrusión.

En muchos incidentes se ha visto cómo la información recopilada se exfiltra haciendo uso de servicios aparentemente benignos como webhook[.]site. Mediante comandos de PowerShell que usan Invoke-WebRequest (o recurren a curl.exe de forma alternativa), los actores mandan la salida de los comandos hacia URLs desechables de ese servicio, lo que les permite comprobar de forma sencilla que la explotación ha tenido éxito y recibir datos interesantes sin levantar demasiadas sospechas.

Escenarios de ataque concretos y cadena de explotación

Los informes técnicos apuntan a varios escenarios de ataque recurrentes alrededor de CVE-2025-59287. En uno de ellos, tras explotar la vulnerabilidad, el atacante utiliza el proceso de IIS (w3wp.exe) para lanzar una consola de comandos y desde ahí ejecutar PowerShell con el fin de descargar dos ficheros: un ejecutable, por ejemplo dcrsproxy.exe, y un archivo auxiliar como rcpkg.db. Estos ficheros suelen actuar como carga útil principal y componente de configuración o empaquetado.

En otro escenario, el objetivo inmediato es verificar los privilegios y la presencia de la vulnerabilidad en un entorno concreto. Para ello, el atacante ejecuta whoami desde el proceso comprometido y canaliza la salida directamente a una petición HTTP mediante curl hacia una URL de webhook[.]site, confirmando así si está operando con permisos de SYSTEM y si el servidor responde según lo esperado.

Se han documentado también casos donde se recurre a rutinas de exfiltración en memoria. En lugar de dejar un rastro evidente en la línea de comandos, el atacante ejecuta un script de PowerShell codificado que recopila lista de interfaces, configuración de red, información del dominio y otros datos sensibles, enviándolos a un webhook de forma sigilosa. Esto complica la detección basada puramente en análisis de comandos o logs tradicionales.

En un cuarto tipo de escenario, el atacante hace uso de señalización DNS y msiexec. Aprovechando el proceso de IIS, se realizan consultas DNS específicas para contactar infraestructura controlada por el adversario y se descarga e instala un paquete MSI malicioso mediante msiexec. Posteriormente se recogen datos de sistema y red para establecer un canal C2 (comando y control) persistente, con vistas a una campaña de larga duración.

Todo esto encaja con la idea de que muchas de estas intrusiones son la fase previa a ataques de ransomware operados por humanos: primero se automatiza el acceso y reconocimiento, luego llegan las herramientas de administración remota, el robo de credenciales y, por último, el cifrado cuando el atacante ya sabe que la jugada puede ser rentable.

Actualizaciones de seguridad de Microsoft y cambios en WSUS

Para abordar CVE-2025-59287, Microsoft ha publicado distintas actualizaciones acumulativas y de pila de mantenimiento (SSU) que combinan las correcciones necesarias tanto para el sistema operativo como para WSUS en sí. En el caso concreto de Windows Server 2022, por ejemplo, la corrección forma parte de una actualización de calidad en la que se menciona expresamente la solución de la vulnerabilidad RCE en los servicios web de informes de WSUS.

Además del parche original de octubre, Microsoft lanzó una actualización fuera de banda (OOB) en la que recalca que el problema se corrige en los servicios de reporte de WSUS, y que esta misma corrección se extiende a las imágenes de contenedor de Windows Server. En el mundo de los contenedores Windows, al no existir una pila de mantenimiento interna, las imágenes se recompilan y publican mensualmente con las nuevas correcciones, por lo que es fundamental reconstruir las imágenes de contenedor basadas en Windows Server para incorporar los parches.

Como parte de la mitigación, Microsoft ha introducido también un cambio funcional importante: WSUS deja de mostrar temporalmente los detalles de error de sincronización en sus informes. Esta funcionalidad se ha retirado para evitar que la misma vía que permitía la deserialización insegura se siga explotando. Aunque pueda resultar incómodo para el diagnóstico de problemas de sincronización, es una medida necesaria mientras se afina la solución definitiva.

Para revisar los archivos concretos incluidos en las actualizaciones, Microsoft pone a disposición listados de ficheros para cada paquete acumulativo (por ejemplo, la actualización 5070892) y para las SSU correspondientes (como el KB5066781 en Windows Server 2022, versión 20348.4285). Estos listados ayudan a verificar que el parche se ha instalado correctamente y que todas las dependencias de WSUS han sido actualizadas.

Software afectado, versiones y relación con otras vulnerabilidades

La vulnerabilidad RCE de WSUS afecta específicamente a servidores Windows donde el rol WSUS está habilitado y configurado. Versiones como Windows Server 2012, 2012 R2, 2016, 2019, 2022 (incluida 23H2) y 2025 entran dentro del conjunto de productos vulnerables, siempre que actúen como servidores de actualización.

Aunque CVE-2025-59287 es la protagonista en WSUS, no es el único problema grave de seguridad reciente en el ecosistema Microsoft. A nivel de escritorio y servicios remotos, se han reportado otras vulnerabilidades de ejecución remota de código como CVE-2025-30397, CVE-2025-29966 y CVE-2025-29967, que afectan desde el motor de scripting de Microsoft hasta el Cliente de Escritorio Remoto y Remote Desktop Gateway.

Por ejemplo, CVE-2025-30397 es una vulnerabilidad de type confusion en el motor de scripts, ya explotada activamente, mientras que CVE-2025-29966 y CVE-2025-29967 describen desbordamientos de búfer en el montón en componentes de Escritorio Remoto, con potencial de RCE a través de la red. Estas vulnerabilidades afectan a Windows 10, Windows 11 y versiones de Windows Server desde 2008 R2 hasta 2022, además de los servicios Remote Desktop Gateway.

Todo este panorama refuerza una idea clave: la superficie de ataque de Microsoft crece y se hace cada vez más compleja, con más de un millar de vulnerabilidades reportadas en productos Microsoft en un solo año, según análisis como el Microsoft Vulnerabilities Report de BeyondTrust. En ese contexto, mantener WSUS expuesto a Internet sin segmentación ni parches actualizados es una apuesta demasiado arriesgada.

Impacto potencial: cadena de suministro, parches y continuidad de negocio

Si un atacante consigue explotar con éxito CVE-2025-59287, el impacto no se limita al propio servidor WSUS. Al obtener ejecución de código con privilegios de sistema, tiene la capacidad de interferir en el proceso de actualización de todos los equipos Windows gestionados por ese WSUS. Eso incluye la posibilidad de inyectar binarios maliciosos, bloquear la distribución de parches críticos o distribuir configuraciones alteradas.

Esto convierte la vulnerabilidad en un problema directo de seguridad de la cadena de suministro digital interna. La confianza que los equipos cliente depositan en WSUS como origen legítimo de actualizaciones se transforma en un arma en manos del atacante. De ahí que tantos organismos de ciberseguridad insistan en tratar estos servidores como activos de alta criticidad y no como simples piezas de infraestructura secundaria.

En entornos corporativos y de administración pública, una intrusión a través de WSUS podría derivar en paradas de servicio masivas, cifrado de ficheros y robo de datos sensibles. La facilidad con la que se puede automatizar la explotación (gracias a PoC públicos y scripts reutilizables) hace que incluso grupos con menos recursos técnicos puedan lanzarse a buscar servidores vulnerables.

Además, la exposición innecesaria de WSUS a Internet o a zonas de red poco controladas se considera una mala práctica de segmentación y gestión de activos. Lo que debería ser un servicio interno se convierte en un objetivo de primera fila accesible desde cualquier punto de la red, lo que eleva el riesgo de que una vulnerabilidad localizada acabe en una brecha sistémica a nivel de organización.

Medidas de mitigación provisionales y recomendaciones de Microsoft

Microsoft y distintos equipos de respuesta han publicado una serie de medidas provisionales para aquellas organizaciones que, por motivos operativos, no pueden desplegar de inmediato la actualización fuera de banda del 23 de octubre. Estas medidas no sustituyen al parche, pero ayudan a ganar tiempo reduciendo la superficie de ataque más directa.

La recomendación más contundente consiste en deshabilitar el rol de servidor WSUS en los equipos afectados. Al hacerlo, el vector de ataque desaparece, pero también lo hace la capacidad del servidor para gestionar y distribuir actualizaciones a los clientes. Es una medida drástica, útil en entornos donde se pueda asumir temporalmente ese impacto mientras se termina de organizar el despliegue de parches o se migra a otro servidor.

Otra mitigación relevante pasa por bloquear todo el tráfico entrante hacia los puertos TCP 8530 y 8531 en el firewall de host (o en cortafuegos perimetrales, según el diseño de red). Al cortar el acceso a los puertos habituales de WSUS, se interrumpe el vector de explotación remoto, pero también se impide la operación regular del servicio, por lo que hay que valorar esta medida en función de la criticidad del ciclo de parches en cada momento.

Junto a estas dos mitigaciones, es fundamental restringir la exposición de WSUS a Internet siempre que sea posible y segmentar su acceso desde redes internas solo a los segmentos necesarios (por ejemplo, subredes de clientes específicos, servidores de gestión, etc.). La idea es que, incluso si aparece otra vulnerabilidad parecida en el futuro, no haya un camino directo entre Internet y el servicio.

Microsoft insiste también en que esas mitigaciones son temporales y que el curso de acción más seguro pasa por aplicar cuanto antes las actualizaciones de seguridad correspondientes, verificando la instalación de la SSU más reciente y de la LCU (actualización acumulativa) que recoge el parche definitivo.

Detección y búsqueda de amenazas: XQL, SIEM y herramientas avanzadas

En paralelo a la aplicación de parches y mitigaciones, es crucial que los equipos de seguridad busquen posibles signos de explotación de CVE-2025-59287 en sus entornos. Algunos proveedores han publicado consultas y reglas listas para usar en plataformas EDR, XDR y SIEM con el fin de identificar comportamientos anómalos asociados a esta vulnerabilidad.

Por ejemplo, los servicios de Búsqueda de Amenazas Gestionada de Unit 42 han compartido una consulta XQL para Cortex XDR que filtra eventos de creación de procesos en sistemas Windows y se centra en aquellos que tienen como progenitor a wsusservice.exe o a w3wp.exe con el pool de aplicaciones de WSUS. La consulta excluye procesos legítimos y frecuentes (como conhost.exe, vbc.exe, svchost.exe asociado a BITS, etc.) para centrarse en posibles procesos de cmd.exe o powershell.exe disparados de forma sospechosa.

La lógica detrás de estas reglas es sencilla pero efectiva: un servidor WSUS no debería estar lanzando shells de comandos o instancias de PowerShell de forma continuada. Cuando esto sucede y, además, se observan conexiones salientes hacia servicios como webhook[.]site, dominios poco habituales o descargas de ejecutables desde ubicaciones externas, la alerta debe dispararse.

Plataformas como la SOC Prime Platform han publicado contenido de detección específico para CVE-2025-59287, compatible con múltiples formatos de SIEM, EDR y data lakes, mapeado al marco MITRE ATT&CK. Estas reglas incluyen mapeo de técnicas (por ejemplo, T1190 para explotación de aplicaciones expuestas a Internet), configuraciones de auditoría recomendadas, enlaces CTI y otros metadatos que facilitan su integración en distintos entornos defensivos.

Además, herramientas basadas en IA como Uncoder AI permiten transformar indicadores de compromiso (IOCs) y descripciones de amenazas en consultas listas para SIEM o XDR, generar diagramas de Attack Flow y traducir contenido entre diferentes plataformas. En el caso de CVE-2025-59287, esto facilita que un equipo de defensa pueda partir de un informe técnico y acabar con consultas adaptadas a su stack tecnológico en muy poco tiempo.

Protecciones específicas de productos de seguridad y respuesta a incidentes

Distintos fabricantes han actualizado también sus productos para detectar y bloquear intentos de explotación de CVE-2025-59287. En el caso de Palo Alto Networks, por ejemplo, el módulo Advanced Threat Prevention incorpora firmas de Threat Prevention (como las 96657 y 96684) orientadas a parar tráfico malicioso relacionado con esta vulnerabilidad cuando se siguen las mejores prácticas de configuración.

Por su parte, soluciones como Cortex XDR y XSIAM ayudan a frenar la actividad posterior a la explotación gracias a un enfoque de protección en varias capas: detección de procesos inusuales, análisis de comportamiento, bloqueo de scripts sospechosos y respuesta automatizada. Se ha publicado incluso un playbook específico para CVE-2025-59287 que automatiza tareas como la identificación de hosts WSUS, la ejecución de consultas XQL de búsqueda, el aislamiento de servidores comprometidos (previa aprobación de un analista) y el bloqueo de indicadores maliciosos identificados.

En los casos en los que ya se sospeche de un compromiso o exista actividad anómala clara, es recomendable contactar con equipos especializados de Respuesta a Incidentes. Proveedores como Unit 42 ofrecen números de contacto para distintas regiones (América del Norte, Reino Unido, Europa y Oriente Medio, Asia, Japón, Australia e India) para dar soporte urgente o realizar evaluaciones proactivas de riesgo antes de que la situación se agrave.

Entre los indicadores de compromiso que se han publicado hasta el momento, destaca la URL de webhook[.]site hxxp://webhook[.]site/22b6b8c8-2e07-4878-a681-b772e569aa6a, usada en algunos ataques para exfiltrar información o confirmar la explotación. Aunque los adversarios pueden cambiar fácilmente estos identificadores, sirve como ejemplo de patrón a vigilar en los logs de tráfico saliente.

Buenas prácticas de endurecimiento y lecciones aprendidas

Más allá de aplicar el parche, la situación generada por CVE-2025-59287 deja varias lecciones de seguridad que conviene interiorizar. La primera es que no tiene sentido exponer innecesariamente servicios internos como WSUS a Internet. Si un servidor está diseñado para servir parches a equipos de una red interna, lo razonable es mantenerlo accesible solo desde esa red o desde segmentos muy concretos, protegidos por firewalls y listas de control de acceso.

Otra reflexión importante es que la mala higiene de seguridad y la falta de segmentación de red son las que transforman una vulnerabilidad técnica en una catástrofe organizativa. El fallo de WSUS es grave por sí mismo, pero su impacto se multiplica cuando el servidor se encuentra en una posición de alta confianza y con acceso directo a gran parte de la infraestructura, sin controles compensatorios que limiten el movimiento lateral.

En ese sentido, conviene revisar periódicamente el inventario de activos, identificar qué servicios están expuestos y documentar qué roles desempeñan dentro de la cadena de suministro interna. A partir de ahí, es más fácil aplicar políticas de principio de mínimo privilegio, segmentación por funciones y monitorización reforzada en los puntos más críticos, como puede ser un WSUS, un controlador de dominio o un Remote Desktop Gateway.

Por último, no hay que olvidar que el entorno Microsoft vive una constante evolución de vulnerabilidades, con nuevos fallos en motores de scripting, RDP, navegadores o componentes de servidor. Priorizar el parcheo de vulnerabilidades críticas ya explotadas en el mundo real, como CVE-2025-59287, y combinarlo con capacidades de detección avanzada y respuesta automatizada es, a día de hoy, una pieza imprescindible de cualquier estrategia de ciberseguridad mínimamente madura.

Todo lo que rodea a la vulnerabilidad RCE en WSUS deja claro que un único servidor mal configurado o sin parchear puede convertirse en el eslabón débil que comprometa toda la organización, por lo que revisar la exposición de WSUS, desplegar las actualizaciones de seguridad, monitorizar la actividad de procesos asociados y reforzar la segmentación de red son pasos que conviene dar sin demora si se quiere dormir algo más tranquilo.