AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Microsoft Soluciona un Problema Crítico que Impedía la Instalación de Actualizaciones de Windows vía WUSA desde Recursos Compartidos**

admin

### 1. Introducción

En el entorno empresarial, la correcta gestión y despliegue de actualizaciones de seguridad es un pilar fundamental para mantener la integridad y disponibilidad de los sistemas. A principios de junio de 2025, Microsoft ha anunciado la resolución de una incidencia que afectaba al proceso de instalación de actualizaciones de Windows utilizando el Windows Update Standalone Installer (WUSA) cuando los paquetes se ejecutaban desde ubicaciones de red compartidas. Este fallo, que impactaba a las actualizaciones publicadas desde mayo de 2025, ha generado preocupación en equipos de IT, administradores de sistemas y responsables de ciberseguridad, especialmente en infraestructuras con despliegues centralizados o con restricciones de acceso a Internet.

### 2. Contexto del Incidente

El problema surgió tras el lanzamiento de los paquetes acumulativos de Windows en mayo de 2025, donde numerosos profesionales reportaron fallos durante la instalación automatizada o manual de actualizaciones mediante WUSA desde recursos compartidos SMB. Este método es ampliamente utilizado en entornos corporativos para distribuir parches a través de scripts, GPOs o herramientas de gestión de actualizaciones, minimizando el tráfico externo y manteniendo el control sobre los binarios distribuidos.

La incidencia se manifestó en sistemas Windows 10, Windows 11 y varias ediciones de Windows Server (incluyendo 2016, 2019 y 2022), independientemente de su edición (Standard, Datacenter, Enterprise, etc.). Los intentos de instalación resultaban en mensajes de error genéricos, sin códigos de error específicos, dificultando la rápida identificación y resolución del fallo.

### 3. Detalles Técnicos

El error, documentado en la base de conocimiento de Microsoft bajo el identificador KB5039302, está relacionado con la gestión de permisos y rutas UNC (Universal Naming Convention) al invocar WUSA.exe. El proceso WUSA lanzado desde una ruta de red (\servidorshareupdate.msu) no era capaz de acceder correctamente al contenido del archivo de actualización por una regresión en el manejo de sesiones SMB a partir de las actualizaciones de mayo de 2025.

#### Vectores de Ataque y MITRE ATT&CK

Aunque el incidente no se traduce en una vulnerabilidad de seguridad directa (no está asociado a ningún CVE específico), sí puede ser explotado de forma indirecta por actores de amenazas que busquen impedir la aplicación de parches críticos, facilitando escenarios de persistencia o escalada posteriores. Bajo el marco MITRE ATT&CK, podría vincularse a las técnicas T1499 (Endpoint Denial of Service) y T1070 (Indicator Removal on Host) si un atacante logra manipular el entorno de actualización.

#### Indicadores de Compromiso (IoC)

No existen IoC clásicos asociados, pero los logs de eventos de Windows (Event ID 3, 5, 7 en el canal de WUSA) mostrarán intentos fallidos de instalación desde rutas UNC entre mayo y junio de 2025.

#### Herramientas y Frameworks

Durante la investigación, algunos equipos de seguridad utilizaron scripts personalizados en PowerShell, junto con herramientas de orquestación como System Center Configuration Manager (SCCM) y frameworks de automatización (Ansible, SaltStack), para intentar mitigar el fallo, sin éxito hasta la publicación del parche correctivo.

### 4. Impacto y Riesgos

Según estimaciones internas de Microsoft, aproximadamente el 18% de los despliegues empresariales de actualizaciones Windows utilizan WUSA desde recursos compartidos. Esto supone que decenas de miles de organizaciones, especialmente del sector público, financiero y educativo, han visto dificultada la aplicación de parches críticos durante varias semanas, elevando el riesgo de exposición a vulnerabilidades corregidas en los boletines de mayo y junio de 2025.

El principal riesgo es la acumulación de sistemas no parcheados, en contravención de estándares como NIS2 y requisitos de cumplimiento como el GDPR (art. 32, seguridad del tratamiento), incrementando la superficie de ataque y la probabilidad de sufrir brechas de seguridad.

### 5. Medidas de Mitigación y Recomendaciones

Microsoft recomienda encarecidamente aplicar la actualización que corrige este comportamiento anómalo, incluida en los paquetes acumulativos de junio de 2025 (por ejemplo, KB5039302 y equivalentes para cada versión). Adicionalmente, se aconseja:

– Verificar la correcta aplicación de los parches mediante auditoría de logs y herramientas de gestión centralizada.
– Utilizar rutas locales o copiar temporalmente los archivos .msu a discos locales si se requieren instalaciones manuales hasta asegurar la mitigación.
– Revisar las políticas de acceso y permisos en los recursos compartidos SMB utilizados para distribución de parches.
– Implementar controles de integridad y alertado sobre fallos de despliegue para evitar ventanas de exposición prolongadas.

### 6. Opinión de Expertos

Especialistas en gestión de vulnerabilidades y responsables de SOC consultados por BleepingComputer coinciden en la gravedad indirecta del incidente: “Un fallo en el pipeline de actualizaciones puede tener consecuencias tan serias como una vulnerabilidad crítica, sobre todo si afecta a organizaciones con despliegues masivos o infraestructuras críticas”, señala Carlos S., CISO de una entidad bancaria española. Los expertos también destacan la importancia de la visibilidad en el proceso de actualización y la necesidad de planes de contingencia ante fallos en herramientas estándar como WUSA.

### 7. Implicaciones para Empresas y Usuarios

Las empresas afectadas deben revisar sus ciclos de actualización y considerar la diversificación de métodos de despliegue (WSUS, Intune, SCCM) para evitar dependencia exclusiva de WUSA sobre SMB. Los usuarios corporativos y domésticos que utilicen repositorios compartidos deben asegurar que sus sistemas han recibido el parche de junio y, de ser posible, auditar los sistemas potencialmente expuestos durante el periodo de fallo.

A nivel regulatorio, las organizaciones sujetas a GDPR y NIS2 deben documentar cualquier retraso en la aplicación de actualizaciones y su impacto potencial en la seguridad de los datos personales.

### 8. Conclusiones

El incidente subraya la importancia de robustecer y monitorizar continuamente los procesos de actualización en entornos Windows, especialmente cuando se utilizan métodos distribuidos. La pronta reacción de Microsoft ha permitido restaurar la operatividad, pero el suceso sirve de recordatorio sobre la necesidad de estrategias de defensa en profundidad y la preparación ante fallos en la cadena de suministro de software, incluso en herramientas nativas.

(Fuente: www.bleepingcomputer.com)