Un exploit de acceso público desata una ola de ataques contra WSUS: servidores Windows derribados con un solo clic
CVE-2025-59287: cómo obtener privilegios SYSTEM sin autenticación
Los atacantes han empezado a explotar activamente una vulnerabilidad en el servicio de actualizaciones Windows Server Update Services (WSUS). El fallo está registrado como CVE-2025-59287 y ya dispone de un código PoC de acceso público, lo que aumenta considerablemente el riesgo de ataques masivos. La vulnerabilidad afecta solo a servidores Windows en los que está habilitado el rol WSUS Server y el sistema está configurado para distribuir actualizaciones a otras instancias WSUS en la red — este modo suele estar desactivado por defecto. En esas configuraciones un atacante puede ejecutar código arbitrario de forma remota sin privilegios y sin la participación del usuario, obteniendo acceso a nivel SYSTEM. Si no existe aislamiento de red, el ataque puede propagarse de un servidor WSUS a otro.
Microsoft ha publicado actualizaciones fuera de ciclo que corrigen la vulnerabilidad y recomienda instalarlas lo antes posible. Las correcciones están disponibles para todas las versiones de Windows Server con soporte: KB5070881 para Windows Server 2025, KB5070879 para la versión 23H2, KB5070884 para 2022, KB5070883 para 2019, KB5070882 para 2016, así como KB5070886 y KB5070887 para 2012 R2 y 2012. Para las organizaciones que no puedan aplicar los parches de inmediato, la empresa ha propuesto medidas temporales de mitigación — por ejemplo, desactivar el rol WSUS Server o limitar el acceso de red a los puertos vulnerables.
A finales de la semana pasada investigadores de HawkTrace Security publicaron un código PoC de demostración para CVE-2025-59287. Aunque el ejemplo no garantiza en todos los casos la ejecución arbitraria de comandos, su aparición provocó un aumento de la actividad. Ya la mañana del 24 de octubre representantes de la empresa neerlandesa Eye Security informaron sobre las primeras exploraciones e intentos de explotación, y uno de los clientes de la organización sufrió un ataque que utilizó otra variante del exploit. La empresa estadounidense Huntress también registró ataques contra servidores WSUS accesibles desde internet por los puertos estándar 8530/TCP y 8531/TCP.
Según Eye Security, en la red abierta se han encontrado alrededor de 2 500 instancias de servidores WSUS en todo el mundo; de ellas, aproximadamente 250 están en Alemania y unas 100 en los Países Bajos. Huntress estima que el número de hosts vulnerables entre sus socios es de alrededor de 25, aunque advierte que la existencia de un exploit funcional y el escaneo activo aumentan la probabilidad de nuevas compromisiones. En los ataques observados los atacantes ejecutaron comandos de PowerShell, recopilando información del dominio (`whoami`, `net user /domain`, `ipconfig /all`) y enviándola a un webhook externo — un paso característico de reconocimiento antes de escalar el acceso.
El Centro Nacional de Ciberseguridad de los Países Bajos (NCSC-NL) confirmó los casos de explotación y advirtió que la existencia de código público incrementa el riesgo de ataques exitosos. En su aviso el centro precisó que los servidores WSUS rara vez deberían estar accesibles directamente desde internet, y que los puertos abiertos 8530 y 8531 aumentan considerablemente la probabilidad de compromisos.
Microsoft clasificó CVE-2025-59287 como «Exploitation More Likely», lo que significa una alta probabilidad de que sea explotada por atacantes. Se recomienda a los administradores instalar los parches, cerrar los puertos externos de WSUS y revisar los registros del sistema en busca de comandos sospechosos de PowerShell y conexiones no autorizadas.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla