Los investigadores de Counter Threat Unit™ (CTU) están investigando la explotación de una vulnerabilidad de ejecución remota de código (CVE-2025-59287) en Windows Server Update Service (WSUS) de Microsoft, una herramienta de gestión de TI nativa para administradores de sistemas Windows. El 14 de octubre de 2025, Microsoft publicó parches para las versiones afectadas de Windows Server. Tras la publicación de un análisis técnico de CVE-2025-59287 y la publicación del código de prueba de concepto (PoC) en GitHub, Microsoft emitió una actualización de seguridad el 23 de octubre.
Observaciones y análisis
El 24 de octubre, Sophos detectó el abuso del error crítico de deserialización en múltiples entornos de clientes. La ola de actividad, que se prolongó durante varias horas y tuvo como objetivo los servidores WSUS conectados a Internet, afectó a clientes de diversos sectores y no pareció tratarse de ataques dirigidos. No está claro si los autores de la amenaza detrás de esta actividad aprovecharon la prueba de concepto pública o desarrollaron su propio exploit.
La actividad detectada más temprana tuvo lugar el 24 de octubre a las 02:53 UTC, cuando un actor malicioso desconocido provocó que los procesos de trabajo IIS de los servidores WSUS de Windows vulnerables ejecutaran un PowerShell codificado en Base64 a través de dos procesos cmd.exe anidados (véase la figura 1).
El comando PowerShell descodificado recopila y extrae información confidencial al servicio externo Webhook.site (véase la figura 2).
El script de PowerShell recopila la dirección IP externa y el puerto del host objetivo, una lista enumerada de usuarios del dominio de Active Directory y las configuraciones de todas las interfaces de red conectadas. A continuación, intenta cargar los datos en una dirección webhook.site codificada de forma rígida a través de una solicitud HTTP POST utilizando el cmdlet Invoke-WebRequest. Si ese intento falla, el script utiliza el comando curl nativo para publicar los datos. En los seis incidentes identificados en la telemetría de los clientes de Sophos, los investigadores de CTU™ observaron cuatro URL únicas de webhook.site.
Tres de las cuatro URL están vinculadas a la oferta de servicios gratuitos de Webhook.site. La oferta gratuita limita el número de solicitudes de webhook a 100. En el momento de esta publicación, el historial de solicitudes de dos URL es visible para cualquiera que posea la URL (véase la figura 3). El análisis de las solicitudes mostró que el abuso de los servidores vulnerables comenzó el 24 de octubre a las 02:53:47 UTC y alcanzó el máximo de 100 solicitudes a las 11:32 UTC. El contenido sin procesar reveló volcados de información de usuarios de dominios e interfaces de múltiples universidades, así como de organizaciones tecnológicas, manufactureras y sanitarias. La mayoría de las víctimas se encuentran en Estados Unidos. Los datos de escaneo de Censys confirmaron que las interfaces públicas registradas en el contenido del webhook se correspondían con servidores Windows que tenían los puertos WSUS 8530 y 8531 expuestos al público.
Recomendaciones y detecciones
Los investigadores de la CTU recomiendan las siguientes medidas para las organizaciones que ejecutan servicios WSUS:
-
Revisa el aviso del proveedor y aplica los parches y las instrucciones de corrección según corresponda.
-
Identifica las interfaces del servidor WSUS expuestas a Internet.
-
Revisa los registros disponibles de la red, el host y las aplicaciones en busca de indicios de escaneos y explotaciones maliciosas.
-
Implementar la segmentación y el filtrado para restringir el acceso a los puertos y servicios WSUS solo a aquellos sistemas que lo necesiten.
Las siguientes protecciones de Sophos detectan la actividad relacionada con esta amenaza:
-
SID: 2311778
-
SID: 2311779
-
SID: 2311809
-
SID: 2311810
-
SID: 65422
