Microsoft publicó esta semana una actualización de seguridad urgente fuera del calendario habitual para corregir una vulnerabilidad crítica en Windows Server Update Service (WSUS) que está siendo explotada activamente por ciberdelincuentes. La falla, identificada como CVE-2025-59287, permite la ejecución remota de código (RCE) con privilegios de SISTEMA y recibió una puntuación CVSS de 9.8, lo que la ubica entre las más graves del año.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) confirmó que actores maliciosos ya están utilizando esta vulnerabilidad en ataques reales, y la incluyó en su catálogo de Vulnerabilidades Explotadas Conocidas, una lista que obliga a las agencias federales a tomar medidas inmediatas.
Una falla que permite control total del sistema
El problema tiene su origen en un proceso de deserialización insegura dentro de WSUS, el sistema de actualización de Windows Server. Este error permite que atacantes no autenticados ejecuten código malicioso de manera remota, comprometiendo completamente los equipos afectados.
Según las firmas de ciberseguridad Huntress, Eye Security y Arctic Wolf, los intentos de explotación comenzaron el 23 de octubre a las 23:34 UTC, apuntando principalmente a instancias de WSUS expuestas a Internet en los puertos 8530 y 8531. Los atacantes utilizan comandos de PowerShell para realizar reconocimiento de redes internas, recolectando nombres de usuario, cuentas de dominio y configuraciones de red, antes de exfiltrar datos hacia servidores externos.
Eye Security, con sede en Países Bajos, detectó el 24 de octubre una variante del ataque que incluía una carga útil en .NET codificada en Base64, ejecutada a través de un encabezado HTTP personalizado diseñado para evadir la detección en los registros del sistema. El Centro Nacional de Ciberseguridad neerlandés (NCSC) confirmó los reportes, alertando que el abuso de esta vulnerabilidad fue verificado por “un socio de confianza”.
Microsoft y CISA emiten advertencias
Microsoft había corregido inicialmente la falla durante su Patch Tuesday de octubre, pero posteriormente determinó que el parche original era incompleto, por lo que publicó esta actualización fuera de banda el 23 de octubre de 2025.
Por su parte, la CISA ordenó a todas las agencias federales estadounidenses corregir la falla antes del 14 de noviembre, y recomendó a las organizaciones privadas aplicar la actualización inmediatamente. La agencia advirtió que esta vulnerabilidad puede permitir a los atacantes obtener control total de los sistemas afectados, incluso dentro de redes corporativas protegidas.
Qué deben hacer las empresas
El riesgo afecta exclusivamente a servidores Windows que tengan habilitado el rol WSUS, una función que no está activada por defecto. Aun así, los expertos en ciberseguridad advierten que la amenaza es significativa en entornos empresariales donde WSUS se utiliza para distribuir actualizaciones internas de Windows.
Para quienes no puedan aplicar el parche de inmediato, Microsoft recomienda deshabilitar temporalmente el rol WSUS y bloquear los puertos 8530 y 8531 en el firewall. Además, advierte no revertir estas medidas hasta que se haya instalado la actualización oficial.
Con esta vulnerabilidad ya siendo explotada en el mundo real, las empresas y administradores de sistemas deben actuar con urgencia para cerrar la brecha antes de que los atacantes puedan aprovecharla para acceder a redes internas o distribuir malware mediante los canales legítimos de actualización de Windows.