SOC Prime Bias: Crítico

27 Oct 2025 09:11
newspaper icon Huntress

CVE-2025-59287: Vulnerabilidad de Ejecución Remota de Código en Windows Server Update Services

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2025-59287: Vulnerabilidad de Ejecución Remota de Código en Windows Server Update Services
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Actores de amenazas están abusando de una vulnerabilidad de ejecución remota de código recién divulgada en Microsoft Windows Server Update Services. La vulnerabilidad (CVE-2025-59287) permite a atacantes no autenticados enviar solicitudes especialmente diseñadas a terminales WSUS en los puertos 8530 y 8531 y lograr la ejecución de código. Los hosts explotados ejecutan cargas útiles de PowerShell que enumeran información del sistema y exfiltran datos a webhooks externos. La actividad fue observada en varios entornos de clientes por Huntress.

Detalles de la Vulnerabilidad

Huntress detectó solicitudes POST maliciosas a servicios web de WSUS que desencadenaron la deserialización en AuthorizationCookie. Las cadenas de procesos mostraron wsusservice.exe o w3wp.exe iniciando cmd.exe y powershell.exe para ejecutar un comando de PowerShell codificado en Base64. La carga útil recopiló datos de usuario y de red y los envió a un webhook remoto a través de Invoke‑WebRequest o curl. Se utilizaron redes proxy para ocultar el origen de los atacantes.

Se ha observado que el error se ha explotado en el entorno real y existe un PoC público; Microsoft emitió una corrección fuera de banda el 23 de octubre de 2025, y las mitigaciones provisionales incluyen deshabilitar la función del servidor WSUS o bloquear el acceso entrante a los puertos de gestión de WSUS hasta que se aplique el parche.

Mitigación

Microsoft lanzó un parche fuera de banda para CVE-2025-59287; las organizaciones deben aplicar la actualización de inmediato. Limite la exposición restringiendo el tráfico entrante a los puertos WSUS 8530/TCP y 8531/TCP solo a hosts de gestión de confianza. Aísle los servidores WSUS de internet y monitoree solicitudes POST no autorizadas a los terminales de servicios web de WSUS.

mermaid graph TB %% Class definitions classDef technique fill:#99ccff classDef process fill:#ffdd99 classDef discovery fill:#ddffdd classDef exfil fill:#ffcc99 classDef c2 fill:#ff99cc %% Nodes A[«<b>Técnica</b> – <b>T1210 Explotación de Servicios Remotos</b><br />Deserialización de WSUS no autenticada en puertos 8530/8531»] class A technique B[«<b>Técnica</b> – <b>T1059.003 Ejecución de Comandos</b><br />wsusservice.exe o w3wp.exe inicia cmd.exe»] class B process C[«<b>Técnica</b> – <b>T1059.001 PowerShell</b> y <b>T1027.009 Archivos U Obfuscación de Información</b><br />Carga útil codificada en Base64 es decodificada y ejecutada»] class C process D1[«<b>Técnica</b> – <b>T1033 Descubrimiento de Propietario/Usuario del Sistema</b><br />Comando: whoami»] class D1 discovery D2[«<b>Técnica</b> – <b>T1087.002 Descubrimiento de Cuentas de Dominio</b><br />Comando: net user /domain»] class D2 discovery D3[«<b>Técnica</b> – <b>T1016 Descubrimiento de Configuración de la Red</b><br />Comando: ipconfig /all»] class D3 discovery E[«<b>Técnica</b> – <b>T1567.004 Exfiltración Sobre Webhook</b> vía HTTP PUT (T1102.002)<br />Herramientas: Invoke‑WebRequest o curl»] class E exfil F[«<b>Técnica</b> – <b>T1090.003 Proxy Multi‑hop</b> y <b>T1071.001 Protocolos Web</b><br />Tráfico de Comando y Control»] class F c2 %% Connections A u002du002d>|explotas| B B u002du002d>|inicia| C C u002du002d>|ejecuta| D1 C u002du002d>|ejecuta| D2 C u002du002d>|ejecuta| D3 D1 u002du002d>|recopila| E D2 u002du002d>|recopila| E D3 u002du002d>|recopila| E E u002du002d>|transfiere| F

Flujo de Ataque

Simulación de CVE-2025-59287

Ejecución de Simulación

Prerrequisito: La Verificación Pre-vuelo de Telemetría y Línea de Base debe haber aprobado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente las TTPs identificadas y apuntar a generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

Narrativa y Comandos de Ataque:

Paso 1 – Preparar un binario WSUS señuelo:
Copiar un binario del sistema legítimo (por ejemplo, C:WindowsSystem32wsusservice.exe no existe normalmente, así que clonamos cmd.exe y lo renombramos para imitar el servicio vulnerable.


Paso 2 – Explotar CVE-2025-59287:
La vulnerabilidad permite que un atacante suministre una línea de comandos al servicio WSUS que se ejecuta con privilegios de SYSTEM.
El atacante construye una carga útil que hace que el falso wsusservice.exe inicie cmd.exe y un proceso hijo de PowerShell.


Paso 3 – Generar la cadena de proceso esperada:
wsusservice.exe (padre) → cmd.exe (hijo) → cmd.exe (nieto) y powershell.exe (nieto).
Esta cadena exacta satisface la condición selection_wsusservice de la regla Sigma.
Script de Prueba de Regresión:

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis