CISA y la NSA publican directrices urgentes para proteger los servidores WSUS y Microsoft Exchange

La Agencia de Ciberseguridad e Infraestructura de Seguridad Nacional (CISA) y la Agencia de Seguridad Nacional (NSA) de Estados Unidos, junto con socios internacionales de Australia y Canadá, han publicado directrices para reforzar la seguridad de las instancias locales de Microsoft Exchange Server frente a posibles vulnerabilidades.

«Al restringir el acceso administrativo, implementar la autenticación multifactor, aplicar configuraciones estrictas de seguridad de transporte y adoptar los principios del modelo de seguridad de confianza cero (ZT), las organizaciones pueden reforzar significativamente sus defensas contra posibles ciberataques», afirmó CISA .

Las agencias informaron que continúan las actividades maliciosas dirigidas a Microsoft Exchange Server, y que las instancias desprotegidas y mal configuradas son las más afectadas. Se recomienda a las organizaciones que desactiven los servidores Exchange locales o híbridos que hayan llegado al final de su vida útil tras la migración a Microsoft 365.

Algunas de las mejores prácticas descritas se enumeran a continuación:

Mantener las actualizaciones de seguridad y la cadencia de parches
Migrar servidores Exchange obsoletos
Asegúrese de que el servicio de mitigación de emergencias de Exchange permanezca habilitado
Aplicar y mantener la configuración base de Exchange Server, las configuraciones base de seguridad de Windows y las configuraciones base de seguridad de clientes de correo aplicables.
Habilite la solución antivirus, la interfaz de análisis antimalware de Windows (AMSI), la reducción de la superficie de ataque (ASR), AppLocker y el control de aplicaciones para empresas, la detección y respuesta de endpoints, y las funciones antispam y antimalware de Exchange Server.
Restrinja el acceso administrativo al Centro de administración de Exchange (EAC) y a PowerShell remoto, y aplique el principio de mínimo privilegio.
Refuerce la autenticación y el cifrado configurando Seguridad de la capa de transporte (TLS), Seguridad estricta de transporte HTTP ( HSTS ), Protección extendida ( EP ), Kerberos y Bloqueo de mensajes del servidor (SMB) en lugar de NTLM, y la autenticación multifactor.
Deshabilitar el acceso remoto a PowerShell por parte de los usuarios en el Shell de administración de Exchange ( EMS ).

«La seguridad de los servidores Exchange es esencial para mantener la integridad y la confidencialidad de las comunicaciones y funciones empresariales», señalaron las agencias. «La evaluación y el fortalecimiento continuos de la ciberseguridad de estos servidores de comunicación son fundamentales para anticiparse a las ciberamenazas en constante evolución y garantizar una sólida protección de Exchange como parte esencial del funcionamiento de muchas organizaciones».

CISA actualiza la alerta CVE-2025-59287

La guía llega un día después de que CISA actualizara su alerta para incluir información adicional relacionada con CVE-2025-59287 , una falla de seguridad recientemente corregida en el componente Windows Server Update Services ( WSUS ) que podría resultar en la ejecución remota de código.

La agencia recomienda que las organizaciones identifiquen los servidores susceptibles de ser explotados, apliquen la actualización de seguridad fuera de banda publicada por Microsoft e investiguen los indicios de actividad maliciosa en sus redes.

Supervise y verifique la actividad sospechosa y los procesos secundarios generados con permisos de nivel SYSTEM, en particular los que se originan en wsusservice.exe y/o w3wp.exe.
Supervise y verifique los procesos anidados de PowerShell utilizando comandos de PowerShell codificados en base64.

Este desarrollo se produce tras un informe de Sophos que indica que los ciberdelincuentes están explotando la vulnerabilidad para extraer datos confidenciales de organizaciones estadounidenses de diversos sectores, como universidades, tecnología, manufactura y salud. La actividad de explotación se detectó por primera vez el 24 de octubre de 2025, un día después de que Microsoft publicara la actualización.

En estos ataques, se ha descubierto que los atacantes aprovechan servidores WSUS de Windows vulnerables para ejecutar comandos de PowerShell codificados en Base64 y exfiltrar los resultados a un punto final de webhook[.]site, corroborando otros informes de Darktrace, Huntress y la Unidad 42 de Palo Alto Networks.

La empresa de ciberseguridad informó a The Hacker News que hasta la fecha ha identificado seis incidentes en los entornos de sus clientes, aunque investigaciones posteriores han señalado al menos 50 víctimas.

«Esta actividad demuestra que los ciberdelincuentes actuaron con rapidez para explotar esta vulnerabilidad crítica en WSUS y recopilar datos valiosos de organizaciones vulnerables», declaró Rafe Pilling, director de inteligencia de amenazas de la Unidad de Contrainteligencia de Amenazas de Sophos, a The Hacker News en un comunicado.

Es posible que se tratara de una prueba inicial o una fase de reconocimiento, y que los atacantes estén analizando los datos recopilados para identificar nuevas oportunidades de intrusión. Por el momento, no se observa una explotación masiva, pero aún es pronto, y los sistemas de seguridad deben considerar esto como una alerta temprana. Las organizaciones deben asegurarse de que sus sistemas estén completamente actualizados y que los servidores WSUS estén configurados de forma segura para reducir el riesgo de explotación.

Michael Haag, ingeniero principal de investigación de amenazas en Splunk, propiedad de Cisco, señaló en una publicación en X que CVE-2025-59287 «va más allá de lo esperado» y que encontraron una cadena de ataque alternativa que implica el uso del binario de la Consola de administración de Microsoft («mmc.exe») para activar la ejecución de «cmd.exe» cuando un administrador abre la Consola de administración de WSUS o hace clic en «Restablecer nodo del servidor».

«Esta ruta desencadena un fallo en el registro de eventos 7053», señaló Haag, y agregó que coincide con el seguimiento de pila detectado por la empresa de ciberseguridad Huntress en «C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log».

Fuente y redacción: thehackernews.com

CISA actualiza la alerta CVE-2025-59287

CISA agrega 3 fallas explotadas activamente al catálogo de KEV, incluido el error crítico PaperCut

CISA detecta fallas críticas en sistemas Mitel y Oracle en medio de explotación activa

Nueva variante de ransomware ESXiArgs surge después de que CISA lanza la herramienta de descifrado