Una vulnerabilitat crítica al Windows Server Update Services (WSUS), identificada com a CVE-2025-59287, està sent aprofitada per atacants per executar codi de forma remota i sense autenticació. La debilitat resideix a la deserialització de dades no fiables i ha motivat la publicació urgent de pegats fora de banda per part de Microsoft.
Investigadors independents i equips de resposta han confirmat activitat maliciosa en entorns reals, amb intents d'intrusió i campanyes adreçades a servidors WSUS accessibles per xarxa. Organitzacions a Europa ia Espanya han de donar a aquesta incidència la màxima prioritat de pegat pel potencial de compromís massiu del sistema de distribució dactualitzacions.
Què ha passat i per què importa
La falla, rastrejada com CVE-2025-59287 (CVSS 9,8), permet a un atacant remot no autenticat executar codi amb alts privilegis enviant esdeveniments especialment manipulats al servei WSUS. Microsoft va reemetre el butlletí després de comprovar que la actualització inicial no mitigava completament el problema, i va publicar una correcció fora de banda daplicació immediata.
Segons diferents fonts del sector, com Huntress, Horizon3.ai i equips de threat intel·ligent, la tècnica d'atac és de baixa complexitat i, amb un exploit públic disponible, s'ha convertit en un objectiu desitjable. A més, l'Agència de Ciberseguretat dels EUA (CISA) ha afegit la decisió a la seva catàleg de vulnerabilitats explotades, el que subratlla la urgència dactuar.
Com funciona la vulnerabilitat
El nucli del problema és una deserialització insegura a WSUS que es pot activar a través de peticions a serveis web del propi rol. En escenaris observats, les sol·licituds provoquen que el procés de WSUS o el obrer d'IIS generi cmd.exe i PowerShell, possibilitant l'execució de càrregues útils.
Investigacions tècniques assenyalen que s'abusa del maneig de cookies d'autorització en un punt d'entrada concret, on les dades xifrades (per exemple, amb AES-128-CBC) es desxifren i es deserialitzen sense validació de tipus mitjançant mecanismes heretats. Això obre la porta a RCE amb privilegis de SISTEMA si el servidor és assolible.
Versions afectades i disponibilitat de pegats
Microsoft ha alliberat actualitzacions fora de banda per Windows Server 2012, 2012 R2, 2016, 2019, 2022 (inclosa 23H2 Server Core) i Windows Server 2025. És imprescindible reiniciar el sistema després d'instal·lar el pegat per completar la mitigació.
És important destacar que no estan afectats els servidors que no tenen habilitat el rol del WSUS. Per als que no puguin actualitzar immediatament, la companyia proposa mesures temporals: desactivar el rol o bloquejar el trànsit entrant als ports 8530/8531 al tallafocs de l'amfitrió.
Explotació a Europa: cronologia i campanyes observades
Autoritats i proveïdors europeus han confirmat senyals dexplotació. El NCSC de Països Baixos va reportar abusos observats el 24 d'octubre, a partir d'informació d'un soci de confiança, mentre que BSI alemany va advertir de l'impacte si l'atacant arriba a la xarxa interna o si hi ha errors a la segmentació.
La firma Eye Security va informar de milers d'instàncies exposades a Internet, incloent centenars a Alemanya i al voltant d'un centenar als Països Baixos. En diversos casos, els adversaris van enviar peticions POST als serveis web de WSUS per activar la deserialització i llançar una cadena d'ordres de reconeixement.
Riscos per a les organitzacions i possibles impactes
Comprometre un servidor WSUS permet a un atacant moure's lateralment i escalar privilegis, amb el risc afegit de manipular la distribució d'actualitzacions. Analistes de diferents companyies adverteixen d'un possible atac a la cadena de subministrament interna si s'implanten binaris maliciosos com si fossin pegats legítims.
En incidents investigats, es van observar PowerShell i cmd.exe llançant ordres per identificar usuaris, enumerar comptes de domini i extreure configuració de xarxa, amb exfiltració a endpoints remots controlats pels atacants.
Recomanacions de mitigació immediata
Per a entorns a Espanya i la resta d'Europa, es recomana prioritzar el desplegament urgent del pegat fora de banda a tots els servidors amb rol WSUS. Si l'actualització no és viable de forma immediata, apliqueu les mitigacions i planifiqueu la finestra de manteniment com més aviat millor.
- Actualitzi a les versions corregides i reinicieu el servidor.
- Deshabiliteu temporalment el rol WSUS si no és crític en aquell moment.
- Bloquegeu al tallafocs del host els ports 8530/8531 (no només en perímetre).
- Limiteu l'exposició de WSUS a la xarxa interna i reviseu la segmentació.
No desfeu cap d'aquestes mesures provisionals fins a completar la instal·lació del pegat. A més, cal revisar la superfície d'atac: WSUS no hauria d'estar exposat públicament una Internet.
Indicadors i senyals a vigilar
En activitat observada per diferents equips, els atacants van buscar reconeixement del domini i de l'entorn de xarxa, amb execució de comandes com whoami, net user /domain i ipconfig /all i enviament de resultats a webhooks remots.
Reviseu registres d'IIS/WSUS a la recerca de múltiples trucades POST inusuals als serveis web, aparició de processos fills del obrer d'IIS (w3wp.exe) o de WSUS (wsusservice.exe), i càrregues PowerShell a Base64 iniciades per aquests processos.
Què és WSUS i per què és un objectiu atractiu
WSUS permet als administradors centralitzar i controlar les actualitzacions de productes Microsoft a xarxes corporatives. El seu paper de confiança el converteix en un punt únic d'alt impacte: en comprometre'l, un atacant pot afectar un gran nombre d'equips de manera silenciosa.
A causa de la seva naturalesa ja que sovint no rep la mateixa atenció que altres sistemes exposats, WSUS pot quedar desactualitzat o mal segmentat. Això, sumat a un exploit de baixa complexitat, eleva significativament el risc operatiu.
La combinació d'una vulnerabilitat crítica amb proves de concepte públiques, explotació ja detectada i una superfície que de vegades està més oberta del que és recomanable obliga a actuar amb rapidesa: apliqui els pegats, tanqueu vectors d'exposició i augmenteu la vigilància sobre els servidors WSUS mentre duri l'onada d'intents.
