100.000 ataques en 7 días: medio millón de servidores WSUS afectados por un 0-day

Los analistas de amenazas cibernéticas registran la explotación activa de una vulnerabilidad crítica en Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Apenas unos días después de la publicación de la actualización de emergencia de Microsoft y de la inclusión del problema en el catálogo CISA KEV, los investigadores ya observan ataques a gran escala que la aprovechan.

A pesar de los informes de intrusiones reales, Microsoft aún no ha cambiado el estado del aviso sobre CVE-2025-59287, donde la vulnerabilidad sigue indicada como no explotada. La empresa solo evalúa la probabilidad de ataques como «más probable», aunque datos de diversas fuentes indican que los ataques ya están en pleno desarrollo.

El equipo Google Threat Intelligence Group (GTIG) confirmó que detectó una campaña que utiliza este fallo, realizada por un nuevo actor rastreado como UNC6512. Tras obtener acceso, los atacantes ejecutan comandos para el reconocimiento del sistema y la infraestructura, y luego extraen datos de los servidores comprometidos.

La vulnerabilidad afecta a Windows Server 2012–2025 y es causada por la deserialización insegura de datos no verificados, que permite ejecutar código arbitrario sin autenticación. Los servidores donde no está activado el rol WSUS quedan fuera de riesgo.

La primera versión de la corrección se publicó el 8 de octubre dentro del ciclo estándar de actualizaciones, pero resultó incompleta. Una semana después Microsoft publicó una actualización fuera de calendario, sin embargo poco después comenzó una ola de ataques. Según Trend Micro, en los últimos 7 días se registraron alrededor de 100 000 intentos de explotación. La Zero Day Initiative informó que en la red permanecen casi 500 000 servidores con WSUS activado, y las instancias vulnerables son atacadas sin distinción, independientemente del sector o la región.

Según las observaciones de los analistas de Unit 42, los ataques se dirigen a servidores WSUS accesibles públicamente que utilizan los puertos estándar 8530 (HTTP) y 8531 (HTTPS). Tras una intrusión exitosa, los atacantes emplean PowerShell para recopilar información de la red —incluyendo los comandos whoami, net user /domain e ipconfig /all— y envían los datos recopilados a un servidor externo mediante Invoke-WebRequest o curl.exe.

Unit 42 señala que por ahora los ataques se limitan al reconocimiento, pero sus consecuencias pueden ser catastróficas: un WSUS comprometido puede propagar software malicioso a través de actualizaciones a toda la infraestructura corporativa. Además, la complejidad de explotación es mínima, y un exploit de prueba de concepto (PoC) está disponible desde el 21 de octubre, lo que hace la vulnerabilidad extremadamente atractiva para ataques masivos.

Algunos investigadores señalan que los problemas de Microsoft con correcciones incompletas no son nuevos. ZDI recordó que situaciones similares surgieron con SharePoint y pidió a la empresa prestar más atención a la calidad de la remediación de vulnerabilidades, ya que un parche incompleto crea una falsa sensación de seguridad en los clientes corporativos.