Windows-Schwachstelle CVE-2025-59287 wird für ShadowPad-Malware-Verteilung per WSUS genutzt

Veröffentlicht am 28. November 2025 von Günter Born

WindowsIn Windows Server gab es eine mit einem CVSS Score von 9.8 bewertete kritische RCE-Schwachstelle CVE-2025-59287 im WSUS-Teil, mit dem sich die Systeme übernehmen lassen. Die Schwachstelle wurde im Oktober 2025 mit Sicherheitsupdates geschlossen. Nun gibt es Berichte, dass Angreifer die ShadowPad-Malware auf ungepatchte Systeme verteilen.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Die WSUS-Schwachstelle CVE-2025-59287

In Windows Server wurde kürzlich eine kritische Remote Execution-Schwachstelle CVE-2025-59287 in WSUS bekannt, die mit einem CVSS-Score von 9.8 bewertet wurde. Eine  Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service (WSUS) ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen.

Microsoft hatte bereits zum 14. Oktober 2025 die Schwachstelle in Sicherheitsupdates bedacht (siehe Patchday: Windows Server-Updates (14. Oktober 2025)). Zum 23. Oktober 2025 gab es dann ein Out-of-Band-Update für die noch im Support befindlichen Windows Server, das dies Schwachstelle weiter absichern sollte. Ich hatte im Beitrag Windows Server: Out-of-Band Updates für WSUS-Schwachstelle CVE-2025-59287 (23.10.2025) berichtet. Es war auch bekannt, dass die Schwachstelle auf ungepatchten Systemen angegriffen wurde (siehe WSUS-Schwachstelle CVE-2025-59287 wird angegriffen).

ShadowPad-Malware-Verteilung per WSUS

The Hacker News berichtet in nachfolgendem Tweet sowie in diesem Artikel, dass die WSUS-Schwachstelle CVE-2025-59287 von Angreifern zur Verteilung der ShadowPad-Malware ausgenutzt werde.

WSUS-Schwachstelle für ShadowPad-Malware-Verteilung ausgenutzt

ShadowPad ist eine modulare Backdoor, die von staatlich geförderten Hackergruppen aus China häufig verwendet wird und erstmals 2015 auftauchte. Sicherheitsforscher des AhnLab Security Intelligence Center (ASEC) berichteten kürzlich vom Ansatz, die ShadowPad-Malware über die Schwachstelle auf Systeme auszuliefern.

Der Angreifer zielte auf Windows-Server mit aktiviertem WSUS, bei denen die Schwachstelle CVE-2025-59287 noch nichts gepatcht war oder ist. Ist der erste Zugriff erfolgreich, verwendeten die Angreifer PowerCat, ein Open-Source-Dienstprogramm auf PowerShell-Basis, um eine System-Shell (CMD) zu erhalten. Danach laden sie ShadowPad herunter und installierten es mit certutil und curl.

Systeme, die zu spät gepatcht wurden, sind möglicherweise bereits mit der Shadow Pad-Backdoor infiziert. AhnLab empfiehlt Administratoren Systeme auf verdächtige Aktivitäten wie:

  • Ausführungshistorie von PowerShell, certutil.exe und curl.exe
  • Netzwerkverbindungsprotokolle auf ungewöhnliche Muster

zu überprüfen, um möglichen Infektionen auf die Spur zu kommen.

Ähnliche Artikel:
Patchday: Windows Server-Updates (14. Oktober 2025)
Windows Server: Out-of-Band Updates für WSUS-Schwachstelle CVE-2025-59287 (23.10.2025)
WSUS-Schwachstelle CVE-2025-59287 wird angegriffen

Dieser Beitrag wurde unter Problem, Sicherheit, Update, Windows Server abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.