Investigadores han detectado que actores maliciosos están explotando activamente la vulnerabilidad CVE-2025-59287 (una deserialización insegura de datos) en Windows Server Update Service (WSUS) para desplegar malware de robo de información, específicamente el troyano Skuld Stealer, en servidores Windows sin parchear.
La vulnerabilidad fue parcheada por Microsoft como una actualización de emergencia (fuera de banda) debido a la aparición de pruebas de concepto y la explotación temprana.
Vector Crítico: Deserialización de WSUS → Skuld Stealer
La vulnerabilidad aprovecha un fallo de deserialización en WSUS para lograr la Ejecución de Código Remoto (RCE) en un servidor estratégico.
Mecanismo y carga útil
- Vector de deserialización: La vulnerabilidad permite a un atacante no autenticado enviar datos maliciosos a funciones de WSUS (como GetCookie()o servicios de informe SOAP) que deserializan los datos de forma insegura (utilizando BinaryFormattero SoapFormatter), lo que conduce a la ejecución de código a nivel del sistema.
- Escaneo Activo: Los atacantes están escaneando intensamente instancias de WSUS expuestas en los puertos por defecto 8530/TCP y 8531/TCP.
- Post-Explotación: Una vez dentro, los atacantes lanzan scripts de PowerShell para:
- Instalar el stealer Skuld.
- Usar herramientas legítimas de respuesta a incidentes (ej., Velociraptor) para establecer canales ocultos.
- Realizar reconocimiento de dominio (net user /domain, ipconfig /all) y exfiltración de datos a webhooks (webhook.site).
Riesgo Estratégico
- Impacto de Cadena de Suministro: WSUS es un componente estratégico. Comprometerlo podría permitir al atacante modificar o interceptar la distribución de parches en toda una red, actuando como un vector de cadena de suministro.
- Escalada y Espionaje: El uso de malware robador (Skuld Stealer) apunta a espionaje de credenciales y datos de usuarios, lo que sugiere que muchos entornos vulnerables ya están siendo preparados para un ransomware o compromisos mayores.
- Mala configuración recurrente: La exposición de WSUS al público o la falta de segmentación sigue siendo una mala práctica recurrente que amplifica el riesgo de esta vulnerabilidad.
Recomendaciones
- Parche Inmediato y Aislamiento
- Aplicar Parche: Verifique todos los servidores Windows con rol WSUS activo y aplique la actualización de emergencia correspondiente para CVE-2025-59287 sin demora. Reiniciar los servidores.
- Aislar de Internet: Si el parcheo no es inmediato, cierre los puertos 8530/TCP y 8531/TCP a todo el tráfico externo. Asegúrese de que los servidores WSUS no estén expuestos a Internet y que residan en zonas de red limitadas con acceso controlado.
- Detección y caza
- Monitoreo de Procesos Anómalos: Monitorizar procesos hijos en el servidor WSUS. Una secuenciawsusservice.exe $rightarrow$ cmd.exe $rightarrow$ powershell.exees una señal crítica de explotación en curso.
- Revisión de Logs: Revisar logs de IIS/WSUS (SoftwareDistribution.log, u_ex .log) en busca de patrones de POST hacia endpoints de servicio (ej., ReportingWebService.asmx, SimpleAuthWebService.asmx) y de descargas de herramientas (Velociraptor) o binarios de ladrón.
- Auditoría de Post-Compromiso: Si se detecta actividad sospechosa, asumir el compromiso: capturar memoria y logs, auditar credenciales de administración, revisar la lateralidad y evaluar si el WSUS pudo haber sido usado para distribuir payloads a otros sistemas.
- Mejores prácticas de configuración
- Segmentación estricta: Limitar quién puede acceder al WSUS (solo IP de administración confiables). Asegúrese de que los servidores WSUS no ejecuten otros roles innecesarios para minimizar la superficie de ataque.
- Monitoreo de Integridad: Implementar monitoreo continuo de procesos inusuales y certificados/firmas en los binarios distribuidos por WSUS.
