- Aktor yang disponsori negara Tiongkok mengeksploitasi CVE-2025-59287, sebuah kelemahan kritis WSUS yang memungkinkan RCE yang tidak diautentikasi dengan hak istimewa SISTEM
- AhnLab melaporkan penyerang menggunakan PowerCat dan certutil/curl untuk menyebarkan ShadowPad, pintu belakang penerus PlugX
- Kemungkinan targetnya mencakup sektor pemerintahan, pertahanan, telekomunikasi, dan infrastruktur penting
Pelaku ancaman yang disponsori negara Tiongkok dilaporkan secara aktif mengeksploitasi kerentanan di dalamnya Microsoft Layanan Pembaruan Server Windows (WSUS), untuk menyebar perangkat lunak perusakpara ahli telah memperingatkan.
Sebagai bagian dari pembaruan kumulatif Patch Tuesday Oktober 2025, Microsoft mengatasi CVE-2025-59287, cacat “deserialisasi data tidak tepercaya” yang ditemukan di Layanan Pembaruan Server Windows (WSUS). Cacat tersebut diberi skor tingkat keparahan 9,8/10 (kritis), karena tampaknya memungkinkan terjadinya serangan eksekusi kode jarak jauh (RCE). Hal ini dapat disalahgunakan dalam serangan dengan kompleksitas rendah, tanpa interaksi pengguna, memberikan pelaku ancaman yang tidak diautentikasi dan tidak memiliki hak istimewa kemampuan untuk menjalankan kode berbahaya dengan hak istimewa SISTEM. Secara teori, hal ini akan memungkinkan mereka untuk melakukan pivot dan menginfeksi server WSUS lainnya juga.
Segera setelah itu, kode bukti konsep (PoC) yang tersedia untuk umum ditemukan, mendorong Microsoft untuk merilis pembaruan keamanan out-of-band (OOB).demikian juga.
Digunakan untuk penerapan ShadowPad
Kini, peneliti keamanan dari AhnLab Security Intelligence Center (ASEC) mengatakan mereka melihat serangan terhadap titik akhir yang belum ditambal, mengisyaratkan bahwa ini adalah ulah Tiongkok.
“Penyerang menargetkan Server Windows dengan WSUS diaktifkan, mengeksploitasi CVE-2025-59287 untuk akses awal,” bunyi laporan itu. “Mereka kemudian menggunakan PowerCat, utilitas Netcat berbasis PowerShell sumber terbuka, untuk mendapatkan shell sistem (CMD). Selanjutnya, mereka mengunduh dan menginstal ShadowPad menggunakan certutil dan curl.”
ShadowPad dilaporkan merupakan penerus PlugX, sebuah pintu belakang modular yang “banyak digunakan” oleh kelompok peretas yang disponsori negara Tiongkok. Ini diterapkan pada titik akhir target melalui pemuatan samping DLL, melalui biner sah bernama ETDCtrlHelper.exe.
Kami tidak tahu berapa banyak perusahaan yang menjadi sasaran melalui WSUS, di mana mereka berada, atau di industri mana mereka beroperasi. Namun, jika ini adalah ulah Tiongkok, maka hal tersebut akan merugikan pemerintah, militer dan pertahanan, telekomunikasi, atau infrastruktur penting.
“Setelah kode eksploitasi proof-of-concept (PoC) untuk kerentanan tersebut dirilis ke publik, penyerang dengan cepat menggunakan kode tersebut untuk mendistribusikan malware ShadowPad melalui server WSUS,” kata AhnLab. “Kerentanan ini sangat penting karena memungkinkan eksekusi kode jarak jauh dengan izin tingkat sistem, sehingga meningkatkan potensi dampak secara signifikan.”
WSUS memungkinkan admin TI untuk mengelola patching komputer dalam jaringan mereka.
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
