![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
In Windows Server gab es eine mit einem CVSS Score von 9.8 bewertete kritische RCE-Schwachstelle CVE-2025-59287 im WSUS-Teil, mit dem sich die Systeme \u00fcbernehmen lassen. Die Schwachstelle wurde im Oktober 2025 mit Sicherheitsupdates geschlossen. Nun gibt es Berichte, dass Angreifer die ShadowPad-Malware auf ungepatchte Systeme verteilen.<\/p>\n
<\/p>\n
Microsoft hatte bereits zum 14. Oktober 2025 die Schwachstelle in Sicherheitsupdates bedacht (siehe Patchday: Windows Server-Updates<\/a> (14. Oktober 2025)). Zum 23. Oktober 2025 gab es dann ein Out-of-Band-Update f\u00fcr die noch im Support befindlichen Windows Server, das dies Schwachstelle weiter absichern sollte. Ich hatte\u00a0im Beitrag\u00a0Windows Server: Out-of-Band Updates f\u00fcr WSUS-Schwachstelle CVE-2025-59287 (23.10.2025)<\/a> berichtet. Es war auch bekannt, dass die Schwachstelle auf ungepatchten Systemen angegriffen wurde (siehe WSUS-Schwachstelle CVE-2025-59287 wird angegriffen<\/a>).<\/p>\n The Hacker News berichtet in nachfolgendem Tweet<\/a> sowie in diesem Artikel<\/a>, dass die WSUS-Schwachstelle CVE-2025-59287 von Angreifern zur Verteilung der ShadowPad-Malware ausgenutzt werde.<\/p>\n ShadowPad ist eine modulare Backdoor, die von staatlich gef\u00f6rderten Hackergruppen aus China h\u00e4ufig verwendet wird und erstmals 2015 auftauchte. Sicherheitsforscher des AhnLab Security Intelligence Center (ASEC) berichteten<\/a> k\u00fcrzlich vom Ansatz, die ShadowPad-Malware \u00fcber die Schwachstelle auf Systeme auszuliefern.<\/p>\n Der Angreifer zielte auf Windows-Server mit aktiviertem WSUS, bei denen die Schwachstelle CVE-2025-59287 noch nichts gepatcht war oder ist. Ist der erste Zugriff erfolgreich, verwendeten die Angreifer PowerCat, ein Open-Source-Dienstprogramm auf PowerShell-Basis, um eine System-Shell (CMD) zu erhalten. Danach laden sie ShadowPad herunter und installierten es mit certutil und curl.<\/p>\n Systeme, die zu sp\u00e4t gepatcht wurden, sind m\u00f6glicherweise bereits mit der Shadow Pad-Backdoor infiziert. AhnLab empfiehlt Administratoren Systeme auf\u00a0verd\u00e4chtige Aktivit\u00e4ten wie:<\/p>\n zu \u00fcberpr\u00fcfen, um m\u00f6glichen Infektionen auf die Spur zu kommen.<\/p>\n \u00c4hnliche Artikel:<\/strong> In Windows Server gab es eine mit einem CVSS Score von 9.8 bewertete kritische RCE-Schwachstelle CVE-2025-59287 im WSUS-Teil, mit dem sich die Systeme \u00fcbernehmen lassen. Die Schwachstelle wurde im Oktober 2025 mit Sicherheitsupdates geschlossen. Nun gibt es Berichte, dass Angreifer … Weiterlesen In Windows Server wurde k\u00fcrzlich eine kritische Remote Execution-Schwachstelle CVE-2025-59287<\/a> in WSUS bekannt, die mit einem CVSS-Score von 9.8 bewertet wurde. Eine\u00a0 Deserialisierung nicht vertrauensw\u00fcrdiger Daten im Windows Server Update Service (WSUS) erm\u00f6glicht es einem nicht autorisierten Angreifer, Code \u00fcber ein Netzwerk auszuf\u00fchren.<\/p>\n
ShadowPad-Malware-Verteilung per WSUS<\/h2>\n
![\"WSUS-Schwachstelle](\"https:\/\/i.postimg.cc\/vTPxzMjM\/image.png\")
<\/p>\n\n
\nPatchday: Windows Server-Updates<\/a> (14. Oktober 2025)
\nWindows Server: Out-of-Band Updates f\u00fcr WSUS-Schwachstelle CVE-2025-59287 (23.10.2025)<\/a>
\nWSUS-Schwachstelle CVE-2025-59287 wird angegriffen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"