In Windows Server gab es eine mit einem CVSS Score von 9.8 bewertete kritische RCE-Schwachstelle CVE-2025-59287 im WSUS-Teil, mit dem sich die Systeme übernehmen lassen. Die Schwachstelle wurde im Oktober 2025 mit Sicherheitsupdates geschlossen. Nun gibt es Berichte, dass Angreifer die ShadowPad-Malware auf ungepatchte Systeme verteilen.
Die WSUS-Schwachstelle CVE-2025-59287
In Windows Server wurde kürzlich eine kritische Remote Execution-Schwachstelle CVE-2025-59287 in WSUS bekannt, die mit einem CVSS-Score von 9.8 bewertet wurde. Eine Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service (WSUS) ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen.
Microsoft hatte bereits zum 14. Oktober 2025 die Schwachstelle in Sicherheitsupdates bedacht (siehe Patchday: Windows Server-Updates (14. Oktober 2025)). Zum 23. Oktober 2025 gab es dann ein Out-of-Band-Update für die noch im Support befindlichen Windows Server, das dies Schwachstelle weiter absichern sollte. Ich hatte im Beitrag Windows Server: Out-of-Band Updates für WSUS-Schwachstelle CVE-2025-59287 (23.10.2025) berichtet. Es war auch bekannt, dass die Schwachstelle auf ungepatchten Systemen angegriffen wurde (siehe WSUS-Schwachstelle CVE-2025-59287 wird angegriffen).
ShadowPad-Malware-Verteilung per WSUS
The Hacker News berichtet in nachfolgendem Tweet sowie in diesem Artikel, dass die WSUS-Schwachstelle CVE-2025-59287 von Angreifern zur Verteilung der ShadowPad-Malware ausgenutzt werde.
ShadowPad ist eine modulare Backdoor, die von staatlich geförderten Hackergruppen aus China häufig verwendet wird und erstmals 2015 auftauchte. Sicherheitsforscher des AhnLab Security Intelligence Center (ASEC) berichteten kürzlich vom Ansatz, die ShadowPad-Malware über die Schwachstelle auf Systeme auszuliefern.
Der Angreifer zielte auf Windows-Server mit aktiviertem WSUS, bei denen die Schwachstelle CVE-2025-59287 noch nichts gepatcht war oder ist. Ist der erste Zugriff erfolgreich, verwendeten die Angreifer PowerCat, ein Open-Source-Dienstprogramm auf PowerShell-Basis, um eine System-Shell (CMD) zu erhalten. Danach laden sie ShadowPad herunter und installierten es mit certutil und curl.
Systeme, die zu spät gepatcht wurden, sind möglicherweise bereits mit der Shadow Pad-Backdoor infiziert. AhnLab empfiehlt Administratoren Systeme auf verdächtige Aktivitäten wie:
- Ausführungshistorie von PowerShell, certutil.exe und curl.exe
- Netzwerkverbindungsprotokolle auf ungewöhnliche Muster
zu überprüfen, um möglichen Infektionen auf die Spur zu kommen.
Ähnliche Artikel:
Patchday: Windows Server-Updates (14. Oktober 2025)
Windows Server: Out-of-Band Updates für WSUS-Schwachstelle CVE-2025-59287 (23.10.2025)
WSUS-Schwachstelle CVE-2025-59287 wird angegriffen
MVP: 2013 – 2016
Ein WSUS-Server, der selbst nicht gepatch ist. Die Kollegen würden mir nicht einen uMeter leid tun.
Toller Beitrag!
Alle Forenleser seien dir für dein Mitgefühl und deine Hilfsbereitschaft zu ewiger Dankbarkeit verpflichtet!
Auch wenn es nicht nett klingt, in der Sache muss ich Gänseblümchen schon recht geben. Das ist inzwischen kein 0-Day mehr und der Inhalt des OOB-Patches ist mit Sicherheit auch im regulären November Update mit drin gewesen. Also hatte man als Admin von entsprechenden Systemen durchaus genug Zeit zum Patchen.
Wir haben als der Hotfix kam alles andere stehen und liegen lassen und erstmal die WSUS-Server durchgepatcht.
Naja, so falsch ist das gar nicht.
Man sollte Systeme möglichst zeitnah patchen.
Und hier ist der WSUS eines der ersten Systeme, die gepatcht werden.
In vielen Unternehmen herrscht aber eine Patchmüdigkeit oder es fehlt schlicht das Verständnis für die Wichtigkeit.
Man muß nur mal schauen, wieviele ungepatchte Systeme es in Deutschland gibt.
Und wieviele Systeme total veraltet sind und für die es keine Patches mehr gibt.
Beispielsweise sind immer noch hunderte Exchangeserver 2010 und 2013 online, für die es schon seit Jahren keine Patches mehr gibt und die daher voller Sicherheitslücken sind.
Gute Antwort, R.S.!
Nach welchem Zeitplan patchen Sie in Ihrem Unternehmen üblicherweise die Systeme, um sie aktuell zu halten?
MfG
Da die Patches i.d.R. erst am Abends kurz vor Feierabend eintrudeln bzw. der WSUS die in der Nacht abholt, geht das so:
Jeden Tag (nicht nur nach Patchdays, da es ja auch OOB-Updates gibt) morgens im WSUS schauen, ob es neue Updates gibt.
Wenn ja, dann die Patches freigeben.
Und wenn der WSUS die dann heruntergeladen hat, alle Systeme, die sich ohne Downtime für die Clients patchen lassen, sofort patchen.
So z.B. den WSUS. Das ist immer einer der ersten Server, die gepatcht werden.
Und der Rest der Server wird je nach Erfordernis entweder gleichzeitig oder nacheinander in der Nacht oder wenn das Patchen rel. schnell geht, auch in der Mittagspause gepatcht.
Einige Systeme nacheinander, weil es eine schlechte Idee ist, z.B. beide DCs gleichzeitig neu starten zu lassen.
Erst wird der eine DC gepatcht, wenn der wieder aktiv ist, kommt der zweite DC dran.
Spätestens 2-3 Tage nach dem Patchday sind dann alle Server und Clients gepatcht.
Und was die Hardware (Switche, Router, Serverhardware, Clienthardware, etc.) angeht:
Da schaue ich alle 1 bis 2 Wochen kurz auf der Herstellerseite nach, ob es Patches oder z.B. sicherheitsrelevante BIOS/UEFI-Updates gibt.
Die werden dann heruntergeladen und zeitnah eingespielt.
So gibt es hier keine großen Verzögerungen bei den Patches.
WSUS synct Nachts um 1:00, erste kleine Welle von PCs bekommt gleich am Mittwoch die Freigabe, die Updates zu installieren. Diese PCs und Server werden beobadchtet, ob sie hoch kommen und alles läuft. Sofer nichts schiefgegangen ist, folgen noch 2 weitere Wellen an den darauf folgenden Tagen. Ergebnis: Am Samstag sind 95% der PCs, die online sind, aktualisiert. Sogar untesere MS-SQL- und Fileserver-Cluster-Server- und Hyper-V-Cluster patchen automatisch (Cluster aware Updates). Darauf laufende Instanzen werden automatisch verschoben. Die anderen erfordern manuelle Prozesse wie bestimmte Dienste in bestimmten Reihenfolgen stoppen bzw. starten, bei denen geht es nicht anders. Oder es sind halt PC/Laptops von Mitarbeitern die gerade in Urlaub sind oder so.
Das letzte Mal, dass wir das wegen Problemen aussetzen mussten, ist schon länger her. Was auf jeden Fall lohnt, ist diverse Foren, Blogs, IT-News-Seiten u.ä. im Blick zu haben, wo sehr früh Fehlerreports auftauchen, hier auch. Wenn da was kommt, ist das recht hilfreich, außer die Linux-Einstreuungen.
"Da schaue ich alle 1 bis 2 Wochen kurz auf der Herstellerseite nach, ob es Patches oder z.B. sicherheitsrelevante BIOS/UEFI-Updates gibt."
Nur mal aus Interesse: Was nutzt du zur Inventarisierung der manuell zu patchenden Systeme bzw. zum Nachhalten des Patchstandes?
Das mache ich bei der Hardware ganz profan mit einer Excel-Liste.
Da steht jedes Hardwaregerät drin und die aktuelle Versionsnummer des BIOS/UEFI bzw. der Firmware.
Finde ich eine neuere Version, wird das Gerät Rot markiert und die neue Versionsnummer in eine separate Spalte eingetragen, dann das Update heruntergeladen und dann installiert und danach die Liste aktualisiert, d.h. die neue Versionsnummer in die andere Spalte verschoben und die rote Markierung entfernt.
So sehe ich schnell, welches Gerät ich patchen muss.
Wenn ich mehrere 100 Systeme zu verwalten hätte, würde ich das aber mit darauf spezialisierter Software machen.
Wir haben auch eine sehr homogene Hardwarelandschaft mit nur wenigen verschiedenen Modellen.
Deshalb hält sich auch der Aufwand z.B. bei der Suche nach Updates und dem Herunterladen von Patches sehr in Grenzen.
Ja, so mache ich das aktuell im Wesentlichen auch: Gerätebezeichnung, aktuell installierte Versionsnummer, Versionsnummer der aktuellsten verfügbaren Version, wenn diese voneinander abweichen, wird automatisch ein rot unterlegtes "Updates verfügbar" ausgeworfen. Für unsere Größe reicht das auch vollkommen aus, aber man möchte ja von Zeit zu Zeit mal einen Blick über den Tellerrand werfen.