Windows-Server-Lücke: ShadowPad-Malware im Einsatz

Cybersecurity-Experten und US-Bundesbehörden schlagen erneut Alarm: Eine kritische Schwachstelle in Windows Server Update Services (WSUS) wird aktiv ausgenutzt, um die hochentwickelte Schadsoftware ShadowPad einzuschleusen. Die Bedrohungslage hat sich in den letzten 72 Stunden dramatisch verschärft.

Obwohl die US-Cybersecurity-Behörde CISA die Sicherheitslücke CVE-2025-59287 bereits Ende Oktober identifizierte, zeigen aktuelle Entwicklungen eine gefährliche Eskalation. Laut dem am Sonntag veröffentlichten Security Affairs Malware Newsletter nutzen Angreifer gezielt diese Schwachstelle, um in Unternehmensnetzwerke einzudringen – ein besorgniserregender Beleg für CISAs frühe Warnungen.

Besonders alarmierend: Die Angriffe setzen ShadowPad ein, eine modulare Backdoor, die häufig chinesischen Spionagegruppen zugeordnet wird.

Sicherheitsforscher des AhnLab Security Intelligence Center (ASEC) bestätigen, dass Angreifer über CVE-2025-59287 in ungepatchte WSUS-Server eindringen. Einmal im System, missbrauchen sie legitime Windows-Werkzeuge wie certutil.exe und curl.exe, um die Schadsoftware herunterzuladen und zu installieren.

Die jüngsten Berichte über ausgenutzte WSUS-Server und ShadowPad zeigen, wie schnell eine einzelne Schwachstelle ganze Unternehmensnetzwerke gefährden kann. Unser kostenloses E‑Book erklärt praxisnahe, sofort umsetzbare Maßnahmen — von Netzwerksegmentierung über Update‑Strategien bis zu Incident‑Response‑Basics — damit Sie teure Schäden und Datenabflüsse verhindern. Der Leitfaden enthält Checklisten und Prioritätenlisten, mit denen Sie binnen Tagen den größten Risiken entgegenwirken. Perfekt für IT‑Leiter und Sicherheitsverantwortliche, die ihre Abwehr ohne große Budgets stärken wollen. Jetzt kostenlosen Cyber-Security-Report herunterladen

„Die Angreifer zielten auf Windows-Server mit aktiviertem WSUS ab und nutzten CVE-2025-59287 für den initialen Zugriff”, erklären ASEC-Forscher. Die Angriffskette verwendet typischerweise „PowerCat”, ein PowerShell-basiertes Tool, um eine System-Shell zu etablieren, bevor die Malware aktiviert wird. Diese Methode erlaubt es Angreifern, herkömmliche Sicherheitsmaßnahmen zu umgehen – ironischerweise durch Kompromittierung genau jenes Systems, das eigentlich Sicherheitsupdates verteilen soll.

ShadowPad gilt als „Meisterwerk” kommerzieller Schadsoftware und dient typischerweise langfristiger Spionage und Datenabfluss. Ihr Einsatz deutet darauf hin, dass hochqualifizierte Advanced Persistent Threat (APT)-Akteure am Werk sind – nicht nur opportunistische Cyberkriminelle.

Anatomie der Sicherheitslücke: Maximale Gefährdung

Die Schwachstelle CVE-2025-59287 erreicht einen kritischen CVSS-Score von 9,8 von 10 Punkten – ein Wert, der sowohl die Schwere als auch die einfache Ausnutzbarkeit unterstreicht.

Der Fehler liegt in der unsicheren Deserialisierung nicht vertrauenswürdiger Daten innerhalb der WSUS-Webdienste. Konkret betrifft er die Verarbeitung von AuthorizationCookie-Objekten am GetCookie()-Endpunkt. Ein nicht authentifizierter Remote-Angreifer kann dies ausnutzen, indem er eine speziell präparierte Anfrage an einen verwundbaren Server sendet. Das Ergebnis: Ausführung beliebigen Codes mit SYSTEM-Rechten – der höchsten Zugriffsstufe auf Windows-Maschinen.

Microsoft veröffentlichte Ende Oktober 2025 ein außerplanmäßiges Sicherheitsupdate, nachdem ein erster Patch das Risiko nicht vollständig beseitigte. Die niedrige Komplexität der Ausnutzung und öffentlich verfügbarer Proof-of-Concept-Code beschleunigten jedoch die Bewaffnung der Lücke.

CISA reagiert mit verschärften Vorgaben

CISA fügte CVE-2025-59287 am 24. Oktober 2025 zu ihrem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzu. Alle Bundesbehörden mussten die Lücke bis Mitte November schließen. Die Frist ist verstrichen – die Angriffe eskalieren.

In einer verwandten Entwicklung aktualisierte CISA am Freitag ihren KEV-Katalog um CVE-2021-26829, eine kritische Cross-Site-Scripting-Lücke in OpenPLC ScadaBR. Dies unterstreicht die erhöhte Wachsamkeit der Behörde gegenüber Schwachstellen, die Unternehmens- und Betriebstechnologie verbinden.

Für die WSUS-Schwachstelle empfehlen CISA und Sicherheitsexperten folgende Sofortmaßnahmen:

1. Updates installieren: Das Microsoft-Sicherheitsupdate von Oktober 2025 muss auf allen Servern mit WSUS-Rolle eingespielt werden.
2. Netzwerkzugriff beschränken: Eingehender Traffic zu den TCP-Ports 8530 und 8531 vom Internet sollte blockiert werden. Diese Standard-WSUS-Ports gehören nicht ins öffentliche Netz.
3. Konfiguration überprüfen: Administratoren sollten ihre Umgebung auf Server mit aktivierter WSUS-Rolle untersuchen – etwa via Server Manager Dashboard oder PowerShell-Befehl: Get-WindowsFeature -Name UpdateServices.

Weitreichende Folgen für Unternehmensnetzwerke

Die Kompromittierung von WSUS-Servern ist strategisch hochbrisant: Durch Übernahme eines zentralen Update-Servers können Angreifer sich potenziell lateral durch ganze Netzwerke bewegen und Client-Maschinen infizieren, die dem WSUS-Server für Patches vertrauen.

„Wenn eine ungepatchte WSUS-Instanz online ist, wurde sie in diesem Stadium wahrscheinlich bereits kompromittiert”, warnte Benjamin Harris von der Sicherheitsfirma watchTowr bereits früher – eine Einschätzung, die sich mit der bestätigten ShadowPad-Aktivität nur verfestigt hat.

Sicherheitsteams wird geraten, nach Kompromittierungsindikatoren (IoCs) dieser Kampagne zu suchen. Wichtige Anzeichen umfassen:

• Ungewöhnliche curl.exe– oder certutil.exe-Aktivitäten, die Verbindungen zu externen IP-Adressen initiieren
• Präsenz von Dateien namens ETDCtrlHelper.exe oder ETDApix.dll in unerwarteten Verzeichnissen – häufig für DLL-Side-Loading von ShadowPad verwendet
• Unerwarteter Traffic auf Ports 8530/8531 von nicht-internen IP-Adressen

Organisationen, die ihre WSUS-Infrastruktur noch nicht gepatcht oder isoliert haben, sollten von einem Sicherheitsvorfall ausgehen und sofort Incident-Response-Protokolle aktivieren. Die Kombination einer kritischen Remote-Code-Execution-Lücke mit staatlich gesteuerter Schadsoftware macht dies zu einer der drängendsten Sicherheitsherausforderungen Ende 2025.

PS: Falls Ihre WSUS‑Server noch nicht isoliert oder gepatcht sind, sollten Sie von einem Vorfall ausgehen und gezielt handeln. Dieses kostenlose E‑Book bietet eine kompakte Sofort‑Checkliste für Incident Response, IoC‑Suche und Priorisierung von Patches — speziell für kleine und mittlere Unternehmen. So erkennen Sie kompromittierte Systeme schneller und reduzieren lateral movement‑Risiken. Gratis E‑Book: Sofort-Check für Ihre IT‑Sicherheit herunterladen