## https://sploitus.com/exploit?id=101CED3F-868F-5D8A-87CD-D372CED31750
# 馃毃 ALERTA CR脥TICA DE CIBERSEGURIDAD: RCE en WSUS (CVE-2025-59287) 馃毃
**CREADOR Y CR脡DITOS:** (@esteban11121)
*Esta gu铆a ha sido elaborada para ayudar a la comunidad a mitigar r谩pidamente la vulnerabilidad.*
**ESTADO: Explotaci贸n Activa (In-the-Wild) Confirmada.**
Esta es una vulnerabilidad de **Ejecuci贸n Remota de C贸digo (RCE)** que afecta a los servidores **WSUS**, permitiendo a atacantes no autenticados obtener privilegios de **SYSTEM**. Se requiere una acci贸n de parcheo **Fuera de Banda (OOB)** inmediata.
| Detalle | Valor |
| :--- | :--- |
| **Identificador** | CVE-2025-59287 |
| **Severidad CVSS** | **9.8 (Cr铆tica)** |
| **Vector de Ataque** | Red (Ejecuci贸n remota, no autenticada) |
| **Servicios Afectados** | Windows Server Update Services (WSUS) |
| **Acci贸n Requerida** | Parcheo OOB y Reinicio |
---
## 馃幆 ALCANCE: Servidores Vulnerables
**SOLO** los servidores Windows que tengan el **Rol de Servidor WSUS (Windows Server Update Services) HABILITADO** est谩n en riesgo.
| Versi贸n de Windows Server | Estado de la Vulnerabilidad |
| :--- | :--- |
| Server 2025 | **Vulnerable** |
| Server 2022 | **Vulnerable** |
| Server 2019 | **Vulnerable** |
| Server 2016 | **Vulnerable** |
| Server 2012 / 2012 R2 | **Vulnerable** |
---
## 馃摑 PASO A PASO: Plan de Mitigaci贸n y Parcheo Urgente
El objetivo es asegurar los sistemas vulnerables antes de aplicar la actualizaci贸n OOB.
### FASE I: Identificaci贸n y Aislamiento (Acci贸n Inmediata)
1. **Identificar Servidores:** Confirmar el listado exacto de todos los servidores que ejecutan el Rol de WSUS.
2. **Mitigaci贸n de Emergencia (Si el Parcheo no es instant谩neo):**
* **Opci贸n A (Recomendada):** Bloquear el tr谩fico **entrante (Inbound)** a los puertos por defecto de WSUS a nivel de Firewall del host o de la red.
* Puertos a Bloquear: **TCP 8530** (HTTP) y **TCP 8531** (HTTPS).
* **Opci贸n B:** Deshabilitar temporalmente el Rol/Servicio de Servidor WSUS.
3. **Verificaci贸n:** Confirmar que los puertos 8530/8531 ya no est谩n accesibles desde fuentes no autorizadas.
### FASE II: Preparaci贸n y Staging del Parche
1. **Verificaci贸n del SSU (Servicing Stack Update):**
* **CR脥TICO:** Asegurarse de que el 煤ltimo **Servicing Stack Update (SSU)** aplicable a la versi贸n del SO est茅 instalado. Un SSU desactualizado puede causar fallos de instalaci贸n del parche.
2. **Descarga de la KB OOB Correcta:**
* Descargar el paquete OOB (Out-of-Band) desde el **Cat谩logo de Microsoft Update** utilizando el ID de la KB correspondiente a la versi贸n del servidor.
| Versi贸n de Windows Server | Paquete de Actualizaci贸n de Seguridad (KB ID) |
| :--- | :--- |
| **Server 2025** | KB5070885 |
| **Server 2022** | **KB5070884** |
| **Server 2019** | **KB5070883** |
| **Server 2016** | **KB5070882** |
| **Server 2012 R2** | **KB5070881** |
| **Server 2012** | **KB5070880** |
### FASE III: Instalaci贸n y Verificaci贸n Final
1. **Instalar la KB:** Ejecutar el paquete de actualizaci贸n de seguridad.
2. **Reiniciar el Sistema:** La KB es acumulativa y **REQUIERE un REINICIO** para que la mitigaci贸n sea efectiva.
3. **Verificaci贸n Post-Parcheo:**
* Confirmar que la KB se haya instalado correctamente.
* **IMPORTANTE:** Si se aplic贸 la Opci贸n A o B de la Fase I, **revertir la mitigaci贸n de emergencia** y verificar que el servicio WSUS vuelva a la operaci贸n normal.
---
## 馃攳 Verificaci贸n Adicional del Vector de Ataque
Si necesita confirmar si el componente vulnerable est谩 realmente escuchando y accesible, ejecute este comando en **PowerShell** para verificar los puertos que utiliza el servicio web de WSUS:
```powershell
# Verificaci贸n de los puertos de escucha de WSUS (Vector de ataque)
Get-NetTCPConnection -State Listen | Where-Object { $_.LocalPort -eq 8530 -or $_.LocalPort -eq 8531 }