Исследователи по безопасности предупреждают, что китайские спонсируемые государством хакеры активно эксплуатируют уязвимость в Windows Server Update Services (WSUS). Эта уязвимость, обозначенная как CVE-2025-59287, позволяет удаленное выполнение кода с привилегиями системы без участия пользователя.
Серьёзность проблемы и патчи
Уязвимость получила оценку 9.8 из 10, что свидетельствует о ее крайне высокой опасности. В октябре 2025 года Microsoft выпустила накопительное обновление Patch Tuesday, чтобы устранить эту проблему после публичного появления доказательства концепции.
AhnLab Security Intelligence Center (ASEC) сообщает о продолжающихся атаках на незащищенные серверы с поддержкой WSUS, где злоумышленники используют PowerCat для получения системной оболочки.
Как действуют атакующие
После получения доступа злоумышленники загружают и устанавливают ShadowPad, используя certutil и curl. ShadowPad — это модульное вредоносное программное обеспечение, которое является преемником PlugX и распространяется через подгрузку библиотек DLL.
Атаки направлены на правительственные учреждения, оборонные организации, телекоммуникации и другие критически важные секторы инфраструктуры. Как отмечает AhnLab, вредоносное ПО ShadowPad быстро стало распространяться после появления кода PoC.
Неотложные меры против уязвимости в сервере обновлений
Неотложные меры для администраторов
Администраторам необходимо срочно установить обновления, чтобы защитить WSUS-серверы от этой опасной уязвимости. Установка патчей критически важна для предотвращения удаленного выполнения кода и защиты инфраструктуры.
