ShadowPad Malware Actively Exploits WSUS Vulnerability for Full System Access
Mis à jour :
Exploitation de WSUS pour la distribution de ShadowPad
Des acteurs malveillants exploitent activement une faille de sécurité récemment corrigée dans les services de mise à jour de Windows Server (WSUS) pour distribuer le logiciel malveillant ShadowPad. Cette exploitation permet d’obtenir un accès système complet.
Points Clés :
- Le malware ShadowPad, connu pour être utilisé par des groupes de pirates informatiques parrainés par la Chine, est distribué via une vulnérabilité WSUS.
- Les attaquants ciblent les serveurs Windows disposant de WSUS activé.
- Ils utilisent PowerCat, un utilitaire basé sur PowerShell, pour obtenir un shell système (CMD).
- Des outils légitimes comme
certutil.exeetcurl.exesont ensuite employés pour télécharger et installer ShadowPad. - ShadowPad est un backdoor modulaire, successeur supposé de PlugX, qui utilise des techniques de chargement latéral de DLL pour exécuter sa charge utile.
- Le malware intègre des mécanismes de détection anti-triche et de persistance.
Vulnérabilité :
- CVE-2025-59287 : Une faille critique de désérialisation dans WSUS permettant l’exécution de code à distance avec des privilèges système.
Recommandations :
- Appliquer les correctifs de sécurité publiés par Microsoft pour WSUS.
- Surveiller les instances WSUS exposées sur Internet pour détecter toute activité suspecte.
- Examiner l’utilisation d’outils système légitimes tels que
certutil.exeetcurl.exepour des actions inhabituelles. - Mettre en place des mesures de sécurité robustes pour la détection et la réponse aux incidents.