Share
## https://sploitus.com/exploit?id=101CED3F-868F-5D8A-87CD-D372CED31750
# 馃毃 ALERTA CR脥TICA DE CIBERSEGURIDAD: RCE en WSUS (CVE-2025-59287) 馃毃

**CREADOR Y CR脡DITOS:** (@esteban11121)
*Esta gu铆a ha sido elaborada para ayudar a la comunidad a mitigar r谩pidamente la vulnerabilidad.*

**ESTADO: Explotaci贸n Activa (In-the-Wild) Confirmada.**

Esta es una vulnerabilidad de **Ejecuci贸n Remota de C贸digo (RCE)** que afecta a los servidores **WSUS**, permitiendo a atacantes no autenticados obtener privilegios de **SYSTEM**. Se requiere una acci贸n de parcheo **Fuera de Banda (OOB)** inmediata.

| Detalle | Valor |
| :--- | :--- |
| **Identificador** | CVE-2025-59287 |
| **Severidad CVSS** | **9.8 (Cr铆tica)** |
| **Vector de Ataque** | Red (Ejecuci贸n remota, no autenticada) |
| **Servicios Afectados** | Windows Server Update Services (WSUS) |
| **Acci贸n Requerida** | Parcheo OOB y Reinicio |

---

## 馃幆 ALCANCE: Servidores Vulnerables

**SOLO** los servidores Windows que tengan el **Rol de Servidor WSUS (Windows Server Update Services) HABILITADO** est谩n en riesgo.

| Versi贸n de Windows Server | Estado de la Vulnerabilidad |
| :--- | :--- |
| Server 2025 | **Vulnerable** |
| Server 2022 | **Vulnerable** |
| Server 2019 | **Vulnerable** |
| Server 2016 | **Vulnerable** |
| Server 2012 / 2012 R2 | **Vulnerable** |

---

## 馃摑 PASO A PASO: Plan de Mitigaci贸n y Parcheo Urgente

El objetivo es asegurar los sistemas vulnerables antes de aplicar la actualizaci贸n OOB.

### FASE I: Identificaci贸n y Aislamiento (Acci贸n Inmediata)

1.  **Identificar Servidores:** Confirmar el listado exacto de todos los servidores que ejecutan el Rol de WSUS.

2.  **Mitigaci贸n de Emergencia (Si el Parcheo no es instant谩neo):**
    * **Opci贸n A (Recomendada):** Bloquear el tr谩fico **entrante (Inbound)** a los puertos por defecto de WSUS a nivel de Firewall del host o de la red.
        * Puertos a Bloquear: **TCP 8530** (HTTP) y **TCP 8531** (HTTPS).
    * **Opci贸n B:** Deshabilitar temporalmente el Rol/Servicio de Servidor WSUS.

3.  **Verificaci贸n:** Confirmar que los puertos 8530/8531 ya no est谩n accesibles desde fuentes no autorizadas.

### FASE II: Preparaci贸n y Staging del Parche

1.  **Verificaci贸n del SSU (Servicing Stack Update):**
    * **CR脥TICO:** Asegurarse de que el 煤ltimo **Servicing Stack Update (SSU)** aplicable a la versi贸n del SO est茅 instalado. Un SSU desactualizado puede causar fallos de instalaci贸n del parche.

2.  **Descarga de la KB OOB Correcta:**
    * Descargar el paquete OOB (Out-of-Band) desde el **Cat谩logo de Microsoft Update** utilizando el ID de la KB correspondiente a la versi贸n del servidor.

| Versi贸n de Windows Server | Paquete de Actualizaci贸n de Seguridad (KB ID) |
| :--- | :--- |
| **Server 2025** | KB5070885 |
| **Server 2022** | **KB5070884** |
| **Server 2019** | **KB5070883** |
| **Server 2016** | **KB5070882** |
| **Server 2012 R2** | **KB5070881** |
| **Server 2012** | **KB5070880** |

### FASE III: Instalaci贸n y Verificaci贸n Final

1.  **Instalar la KB:** Ejecutar el paquete de actualizaci贸n de seguridad.
2.  **Reiniciar el Sistema:** La KB es acumulativa y **REQUIERE un REINICIO** para que la mitigaci贸n sea efectiva.
3.  **Verificaci贸n Post-Parcheo:**
    * Confirmar que la KB se haya instalado correctamente.
    * **IMPORTANTE:** Si se aplic贸 la Opci贸n A o B de la Fase I, **revertir la mitigaci贸n de emergencia** y verificar que el servicio WSUS vuelva a la operaci贸n normal.

---

## 馃攳 Verificaci贸n Adicional del Vector de Ataque

Si necesita confirmar si el componente vulnerable est谩 realmente escuchando y accesible, ejecute este comando en **PowerShell** para verificar los puertos que utiliza el servicio web de WSUS:

```powershell
# Verificaci贸n de los puertos de escucha de WSUS (Vector de ataque)
Get-NetTCPConnection -State Listen | Where-Object { $_.LocalPort -eq 8530 -or $_.LocalPort -eq 8531 }