Selon un rapport du AhnLab Security Intelligence Center (ASEC), une vulnérabilité de sécurité critique affectant Windows Server Update Services (WSUS) a été rapidement exploitée par des cybercriminels, suite à la publication d'un code d'exploitation.
Les attaquants ciblent ainsi des serveurs Windows avec WSUS activé et tirent parti de la faille CVE-2025-59287 pour un accès initial. Cette faille a fait l'objet d'un correctif déployé en urgence par Microsoft le mois dernier.
Comment les attaquants exploitent-ils la vulnérabilité ?
CVE-2025-59287, est une vulnérabilité d'exécution de code à distance qui ne nécessite aucune authentification. Elle est due à une désérialisation non sécurisée au sein du service web de WSUS.
Une fois la faille exploitée, les attaquants obtiennent un accès avec les privilèges système. Après avoir établi le premier point d'ancrage, ils utilisent des outils pour progresser.
Ils déploient d'abord PowerCat, un utilitaire Netcat open source basé sur PowerShell, pour obtenir un shell distant. Ensuite, ils utilisent les commandes curl.exe et certutil.exe pour contacter un serveur externe et télécharger les différents composants du malware ShadowPad, préparant ainsi le terrain pour une infection plus profonde.
Pourquoi le malware ShadowPad est-il si dangereux ?
ShadowPad n'est pas un malware ordinaire. Considéré comme le successeur de PlugX, il est décrit par SentinelOne comme un " chef-d'œuvre de logiciel malveillant vendu en privé dans l'espionnage chinois ". Il s'agit d'une porte dérobée modulaire utilisée par des groupes APT affiliés à des États. Sa principale force réside dans sa furtivité et sa persistance.
Pour rester indétecté, ShadowPad utilise une technique de DLL side-loading. Un programme exécutable légitime est utilisé pour charger une bibliothèque DLL malveillante en mémoire, qui exécute à son tour le code de la porte dérobée.
Le malware assure sa persistance via des tâches planifiées ou des modifications du registre, et communique avec ses serveurs de commande et de contrôle en masquant son trafic au sein de flux HTTPS d'apparence normale.
Quelles sont les mesures de protection recommandées ?
Face à cette menace, la première recommandation est d'appliquer les correctifs fournis par Microsoft pour la faille CVE-2025-59287. La sécurité des serveurs WSUS peut aussi être renforcée en les isolant des réseaux non fiables.
Les équipes de sécurité doivent également mettre en place une surveillance continue pour détecter toute activité suspecte. Cela inclut la supervision de l'utilisation d'outils comme PowerShell, curl.exe ou certutil.exe, ainsi que l'analyse des journaux de connexion réseau.
