SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

Microsoft Lança Atualizações Emergenciais para Vulnerabilidade Crítica RCE no WSUS
24 OUTUBRO | 2025
SEVERIDADE: CRÍTICA

SEK SECURITY ADVISORY

Microsoft Releases Emergency Updates for Critical RCE Vulnerability in WSUS
OCTOBER 24 | 2025
SEVERITY: CRITICAL

SEK SECURITY ADVISORY

Microsoft lanza actualizaciones de emergencia para vulnerabilidad crítica RCE en WSUS
24 OCTUBRE | 2025
SEVERIDAD: CRÍTICA

Overview

A Microsoft lançou atualizações de segurança emergenciais fora do ciclo regular (out-of-band) para corrigir uma vulnerabilidade crítica de execução remota de código (RCE) identificada como CVE-2025-59287 no Windows Server Update Services (WSUS). A falha, com pontuação CVSS de 9.8, permite que atacantes não autenticados executem código arbitrário com privilégios de SYSTEM em servidores WSUS vulneráveis, sem necessidade de interação do usuário. A vulnerabilidade foi inicialmente corrigida no Patch Tuesday de outubro de 2025, mas após a Microsoft confirmar a disponibilidade pública de código proof-of-concept (PoC) exploratório, foi emitida uma correção emergencial em 23 de outubro de 2025.

A vulnerabilidade reside no tratamento inseguro de desserialização de dados não confiáveis em um mecanismo de serialização legado do WSUS. Conforme explicado pela Microsoft, "um atacante remoto e não autenticado pode enviar um evento manipulado que aciona a desserialização insegura de objetos em um mecanismo de serialização legado, resultando em execução remota de código". A falha pode ser explorada remotamente em ataques de baixa complexidade que não requerem privilégios ou interação do usuário, permitindo que atacantes executem código malicioso com privilégios SYSTEM. A Microsoft classificou esta vulnerabilidade como crítica com uma avaliação de exploração "Provável", tornando-a potencialmente "wormable" (capaz de se propagar entre servidores WSUS vulneráveis).

A criticidade extrema desta falha decorre da combinação de fatores: exploração remota sem autenticação, baixa complexidade de ataque, execução com privilégios máximos do sistema, e disponibilidade de código PoC público. O WSUS é um componente crítico utilizado por organizações para gerenciar e distribuir atualizações do Windows de forma centralizada. Servidores WSUS comprometidos podem ser utilizados para distribuir atualizações maliciosas em toda a infraestrutura corporativa, transformando um sistema de segurança em vetor de ataque. É importante destacar que apenas servidores Windows com o papel de servidor WSUS habilitado são vulneráveis, uma vez que este papel não é habilitado por padrão.

Produtos Afetados

CVE Severidade Produto Afetado
CVE-2025-59287 Crítica Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Nota: Apenas servidores Windows com o papel de servidor WSUS habilitado são vulneráveis. Este papel não é habilitado por padrão.

Recomendações

  • Aplicar imediatamente as atualizações de segurança out-of-band (OOB) lançadas em 23 de outubro de 2025 para todas as versões do Windows Server que executam o papel de servidor WSUS
  • Priorizar instalação urgente considerando que há código proof-of-concept público disponível e a vulnerabilidade foi classificada pela Microsoft com exploração "Provável"
  • Verificar logs do servidor WSUS em busca de eventos suspeitos ou tentativas de exploração, especialmente requisições manipuladas direcionadas ao serviço
  • Implementar segmentação de rede para isolar servidores WSUS, limitando o acesso apenas a sistemas e redes autorizados
  • Para ambientes que não podem aplicar patches imediatamente, a Microsoft recomenda duas alternativas temporárias: desabilitar o papel de servidor WSUS ou bloquear todo tráfego de entrada nas portas 8530 e 8531 via firewall do host (observando que ambas as opções interrompem a funcionalidade do WSUS e impedem que endpoints recebam atualizações)
  • Aplicar a atualização cumulativa OOB que não requer instalação de atualizações anteriores, pois substitui todas as atualizações anteriores para versões afetadas
  • Realizar varredura em todos os servidores Windows para identificar quais possuem o papel WSUS habilitado e priorizar a aplicação de patches nestes sistemas

Fontes

Overview

Microsoft has released emergency out-of-band (OOB) security updates to address a critical remote code execution (RCE) vulnerability identified as CVE-2025-59287 in Windows Server Update Services (WSUS). The flaw, with a CVSS score of 9.8, allows unauthenticated attackers to execute arbitrary code with SYSTEM privileges on vulnerable WSUS servers without requiring user interaction. The vulnerability was initially addressed in October 2025's Patch Tuesday, but after Microsoft confirmed the public availability of proof-of-concept (PoC) exploit code, an emergency fix was issued on October 23, 2025.

The vulnerability lies in the unsafe handling of untrusted data deserialization in a legacy WSUS serialization mechanism. As explained by Microsoft, "a remote, unauthenticated attacker could send a crafted event that triggers unsafe object deserialization in a legacy serialization mechanism, resulting in remote code execution." The flaw can be exploited remotely in low-complexity attacks that require no privileges or user interaction, allowing attackers to execute malicious code with SYSTEM privileges. Microsoft classified this vulnerability as critical with an exploitability assessment of "Probable," making it potentially wormable (capable of propagating between vulnerable WSUS servers).

The extreme criticality of this flaw stems from a combination of factors: remote exploitation without authentication, low attack complexity, execution with maximum system privileges, and availability of public PoC code. WSUS is a critical component used by organizations to centrally manage and distribute Windows updates. Compromised WSUS servers can be used to distribute malicious updates across the entire corporate infrastructure, turning a security system into an attack vector. It is important to note that only Windows servers with the WSUS Server Role enabled are vulnerable, as this role is not enabled by default.

Affected Products

CVE Severity Affected Product
CVE-2025-59287 Critical Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Note: Only Windows servers with the WSUS Server Role enabled are vulnerable. This role is not enabled by default.

Recommendations

  • Immediately apply the out-of-band (OOB) security updates released on October 23, 2025 for all Windows Server versions running the WSUS Server Role
  • Prioritize urgent installation considering that public proof-of-concept code is available and the vulnerability was classified by Microsoft with "Probable" exploitation
  • Review WSUS server logs for suspicious events or exploitation attempts, especially crafted requests targeting the service
  • Implement network segmentation to isolate WSUS servers, limiting access only to authorized systems and networks
  • For environments unable to apply patches immediately, Microsoft recommends two temporary alternatives: disable the WSUS Server Role or block all inbound traffic on ports 8530 and 8531 via the host firewall (noting that both options interrupt WSUS functionality and prevent endpoints from receiving updates)
  • Apply the OOB cumulative update which does not require installation of previous updates, as it supersedes all previous updates for affected versions
  • Scan all Windows servers to identify which have the WSUS role enabled and prioritize patching these systems

Sources

Overview

Microsoft lanzó actualizaciones de seguridad de emergencia fuera del ciclo regular (out-of-band) para corregir una vulnerabilidad crítica de ejecución remota de código (RCE) identificada como CVE-2025-59287 en Windows Server Update Services (WSUS). La falla, con una puntuación CVSS de 9.8, permite que atacantes no autenticados ejecuten código arbitrario con privilegios de SYSTEM en servidores WSUS vulnerables, sin necesidad de interacción del usuario. La vulnerabilidad fue inicialmente corregida en el Patch Tuesday de octubre de 2025, pero después de que Microsoft confirmara la disponibilidad pública de código proof-of-concept (PoC) de explotación, se emitió una corrección de emergencia el 23 de octubre de 2025.

La vulnerabilidad reside en el manejo inseguro de deserialización de datos no confiables en un mecanismo de serialización heredado de WSUS. Según explicó Microsoft, "un atacante remoto y no autenticado puede enviar un evento manipulado que activa la deserialización insegura de objetos en un mecanismo de serialización heredado, resultando en ejecución remota de código". La falla puede ser explotada remotamente en ataques de baja complejidad que no requieren privilegios o interacción del usuario, permitiendo que atacantes ejecuten código malicioso con privilegios SYSTEM. Microsoft clasificó esta vulnerabilidad como crítica con una evaluación de explotación "Probable", haciéndola potencialmente "wormable" (capaz de propagarse entre servidores WSUS vulnerables).

La criticidad extrema de esta falla proviene de una combinación de factores: explotación remota sin autenticación, baja complejidad de ataque, ejecución con privilegios máximos del sistema y disponibilidad de código PoC público. WSUS es un componente crítico utilizado por organizaciones para gestionar y distribuir actualizaciones de Windows de forma centralizada. Los servidores WSUS comprometidos pueden ser utilizados para distribuir actualizaciones maliciosas en toda la infraestructura corporativa, transformando un sistema de seguridad en vector de ataque. Es importante destacar que solo los servidores Windows con el rol de servidor WSUS habilitado son vulnerables, ya que este rol no está habilitado por defecto.

Productos Afectados

CVE Severidad Producto Afectado
CVE-2025-59287 Crítica Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Nota: Solo los servidores Windows con el rol de servidor WSUS habilitado son vulnerables. Este rol no está habilitado por defecto.

Recomendaciones

  • Aplicar inmediatamente las actualizaciones de seguridad out-of-band (OOB) lanzadas el 23 de octubre de 2025 para todas las versiones de Windows Server que ejecutan el rol de servidor WSUS
  • Priorizar instalación urgente considerando que hay código proof-of-concept público disponible y la vulnerabilidad fue clasificada por Microsoft con explotación "Probable"
  • Verificar los registros del servidor WSUS en busca de eventos sospechosos o intentos de explotación, especialmente solicitudes manipuladas dirigidas al servicio
  • Implementar segmentación de red para aislar los servidores WSUS, limitando el acceso solo a sistemas y redes autorizados
  • Para entornos que no pueden aplicar parches de inmediato, Microsoft recomienda dos alternativas temporales: deshabilitar el rol de servidor WSUS o bloquear todo el tráfico de entrada en los puertos 8530 y 8531 a través del firewall del host (observando que ambas opciones interrumpen la funcionalidad de WSUS e impiden que los endpoints reciban actualizaciones)
  • Aplicar la actualización acumulativa OOB que no requiere instalación de actualizaciones anteriores, ya que reemplaza todas las actualizaciones anteriores para versiones afectadas
  • Realizar un escaneo en todos los servidores Windows para identificar cuáles tienen el rol WSUS habilitado y priorizar la aplicación de parches en estos sistemas

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos