Microsoft ha revelado una falla crítica de ejecución remota de código en Internet Information Server (IIS), lo que supone un riesgo para las organizaciones que dependen de servidores Windows para el alojamiento web.
Identificada como CVE-2025-59282, la vulnerabilidad afecta a los objetos COM que gestionan la memoria global, debido a una condición de carrera y un error de uso tras liberación. Anunciada el 14 de octubre de 2025, tiene una puntuación base de 7.0 en CVSS 3.1, calificada como «Importante» por Microsoft.
Aunque aún no se ha explotado de forma activa, los expertos en seguridad advierten que su potencial de ejecución de código arbitrario podría permitir a los atacantes comprometer la integridad del servidor, robar datos o redirigir a ataques de red más amplios.
La falla surge durante la ejecución concurrente, donde los recursos compartidos carecen de una sincronización adecuada, lo que permite a un atacante no autorizado manipular los estados de la memoria. Según los detalles de la CVE, la explotación requiere acceso local, pero puede provenir de un adversario remoto que engaña al usuario para que abra un archivo malicioso. Una explotación exitosa podría permitir a los atacantes ejecutar código arbitrario con los privilegios del proceso IIS, a menudo ejecutándose como SYSTEM en servidores mal configurados.
No se requieren privilegios, aunque la alta complejidad del ataque exige superar una condición de carrera precisa, lo que lo hace difícil, pero factible para atacantes expertos. Microsoft aclara que el término «remoto» en el título se refiere a la posición del atacante, no al sitio de ejecución, lo que lo distingue de las vulnerabilidades completamente remotas.
En esencia, la vulnerabilidad CVE-2025-59282 explota las debilidades en CWE-362 (condición de carrera) y CWE-416 (uso tras liberación) dentro de la gestión de objetos COM de IIS. Cuando un usuario interactúa con un archivo manipulado, como un documento o script con formato específico, la vulnerabilidad desencadena una gestión incorrecta de la memoria.
Esto conduce a un escenario de uso tras liberación donde se accede simultáneamente a la memoria liberada, lo que permite la inyección de código.
(Aún) no se ha publicado código de prueba de concepto, pero los investigadores observan similitudes con problemas de memoria de IIS anteriores, donde los atacantes podrían escalar el control a nivel de sistema. Las versiones afectadas incluyen todas las ediciones de Windows Server con IIS habilitado.
En entornos empresariales, esto podría exponer aplicaciones web, bases de datos o endpoints API sensibles a la implementación de ransomware, la exfiltración de datos o el movimiento lateral. Por ejemplo, un servidor IIS comprometido en una intranet corporativa podría servir como punto de entrada para amenazas persistentes avanzadas dirigidas a los sectores financiero o sanitario.
Aún no se han detallado indicadores de compromiso (IoC), pero se recomienda supervisar las interacciones inusuales de objetos COM o las anomalías de memoria en los registros de IIS.
La defensa más sencilla es deshabilitar IIS si no se utiliza, ya que los sistemas no afectados no corren ningún riesgo. Microsoft recomienda aplicar los próximos parches a través de Windows Update y restringir las políticas de ejecución de archivos.
Fuente y redacción: segu-info.com.ar
