- Çin devleti destekli aktörler, SYSTEM ayrıcalıklarıyla kimliği doğrulanmamış RCE’yi mümkün kılan kritik bir WSUS kusuru olan CVE-2025-59287’den yararlanıyor
- AhnLab, saldırganların PlugX’in halefi arka kapısı olan ShadowPad’i dağıtmak için PowerCat ve certutil/curl kullandığını bildiriyor
- Muhtemel hedefler arasında hükümet, savunma, telekom ve kritik altyapı sektörleri yer alıyor
Çin devleti destekli tehdit aktörlerinin, güvenlik açığından aktif olarak yararlandıkları bildiriliyor. Microsoft Windows Server Güncelleme Hizmetleri (WSUS), yayılacak kötü amaçlı yazılımuzmanlar uyardı.
Microsoft, Ekim 2025 Yaması Salı toplu güncelleştirmesinin bir parçası olarak, Windows Server Update Service’de (WSUS) bulunan bir “güvenilmeyen verilerin seri durumdan çıkarılması” kusuru olan CVE-2025-59287’yi giderdi. Görünüşe göre uzaktan kod yürütme (RCE) saldırılarına izin verdiği için kusura 9,8/10 (kritik) önem puanı verildi. Kullanıcı etkileşimi olmadan, düşük karmaşıklıktaki saldırılarda kötüye kullanılabilir ve kimliği doğrulanmamış, ayrıcalığı olmayan tehdit aktörlerine SİSTEM ayrıcalıklarıyla kötü amaçlı kod çalıştırma olanağı verir. Teorik olarak bu onların diğer WSUS sunucularına da etki etmelerine ve bu sunuculara bulaşmalarına olanak tanıyacak.
Kısa bir süre sonra, halka açık bir kavram kanıtlama (PoC) kodu tespit edildi ve Microsoft’un bir bant dışı (OOB) güvenlik güncellemesiilave olarak.
ShadowPad dağıtımı için kullanılır
AhnLab Güvenlik İstihbarat Merkezi’nden (ASEC) güvenlik araştırmacıları, yama yapılmamış uç noktalara yönelik saldırılar gördüklerini söyleyerek bunun Çinlilerin işi olduğunu ima etti.
Raporda “Saldırgan, ilk erişim için CVE-2025-59287’yi kullanarak WSUS’nin etkin olduğu Windows Sunucularını hedef aldı” deniyor. “Daha sonra bir sistem kabuğu (CMD) elde etmek için açık kaynaklı PowerShell tabanlı Netcat yardımcı programı PowerCat’i kullandılar. Daha sonra, certutil ve curl kullanarak ShadowPad’i indirip yüklediler.”
ShadowPad’in, Çin devleti destekli bilgisayar korsanlığı grupları tarafından “yaygın olarak kullanılan” modüler bir arka kapı olan PlugX’in halefi olduğu bildiriliyor. ETDCtrlHelper.exe adlı meşru bir ikili dosya aracılığıyla DLL tarafından yükleme yoluyla hedef uç noktalara dağıtılır.
WSUS aracılığıyla kaç şirketin hedef alındığını, bunların nerede olduğunu veya hangi sektörlerde faaliyet gösterdiklerini bilmiyoruz. Ancak eğer bu Çinlilerin işiyse, bu ya hükümete, orduya, savunmaya, telekomünikasyona ya da kritik altyapıya karşıdır.
AhnLab, “Güvenlik açığına yönelik kavram kanıtlama (PoC) yararlanma kodunun kamuya açıklanmasının ardından, saldırganlar bunu ShadowPad kötü amaçlı yazılımını WSUS sunucuları üzerinden dağıtmak için hızla silah haline getirdi” dedi. “Bu güvenlik açığı kritiktir çünkü sistem düzeyinde izinle uzaktan kod yürütülmesine olanak tanır ve potansiyel etkiyi önemli ölçüde artırır.”
WSUS, BT yöneticilerinin ağlarındaki bilgisayarlara yama uygulayabilmesini sağlar.
Aracılığıyla Hacker Haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.