Vulnerabilidade no WSUS permite distribuição de malware ShadowPad

BR Defense Center (By River de Morais e Silva)
malware

Uma falha de segurança recentemente corrigida no Microsoft Windows Server Update Services (WSUS) foi explorada por atacantes para distribuir o malware conhecido como ShadowPad. A vulnerabilidade, identificada como CVE-2025-59287, é uma falha crítica de desserialização que permite a execução remota de código com privilégios de sistema. Os atacantes inicialmente acessaram servidores Windows com WSUS habilitado e utilizaram ferramentas como PowerCat, um utilitário baseado em PowerShell, para obter um shell do sistema. Em seguida, eles baixaram e instalaram o ShadowPad usando comandos como certutil e curl.

O ShadowPad, considerado um sucessor do PlugX, é uma backdoor modular amplamente utilizada por grupos de hackers patrocinados pelo estado chinês desde 2015. Após a divulgação pública do código de exploração da vulnerabilidade, os atacantes rapidamente a utilizaram para distribuir o malware via servidores WSUS. A instalação do ShadowPad é realizada por meio de um processo de side-loading de DLL, utilizando um binário legítimo para executar um payload malicioso. Uma vez instalado, o malware carrega um módulo central que permite a execução de outros plugins, além de incorporar técnicas de anti-detecção e persistência. A exploração dessa vulnerabilidade representa um risco significativo, pois permite a execução de código remoto com permissões de sistema, aumentando consideravelmente o impacto potencial.

Fonte: https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
24/11/2025 • Risco: CRITICO
MALWARE

Vulnerabilidade no WSUS permite distribuição de malware ShadowPad

RESUMO EXECUTIVO
A exploração da vulnerabilidade CVE-2025-59287 em servidores WSUS representa um risco crítico para a segurança cibernética, permitindo a execução remota de código e a instalação de malware como o ShadowPad. A rápida adoção dessa vulnerabilidade por atacantes destaca a necessidade urgente de ações corretivas e monitoramento contínuo.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos elevados devido a incidentes de segurança e recuperação de sistemas.
Operacional
Distribuição do malware ShadowPad e potencial comprometimento de sistemas.
Setores vulneráveis
['Setores de tecnologia da informação', 'Setores governamentais', 'Setores financeiros']

📊 INDICADORES CHAVE

CVE-2025-59287 permite execução remota de código com privilégios de sistema. Indicador
ShadowPad é utilizado por grupos de hackers patrocinados pelo estado chinês desde 2015. Contexto BR
A vulnerabilidade foi corrigida pela Microsoft no mês passado. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de servidores WSUS expostos e aplicar patches disponíveis.
2 Desabilitar WSUS em servidores não essenciais até que a vulnerabilidade seja mitigada.
3 Monitorar logs de acesso e atividades suspeitas em servidores WSUS.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de exploração de uma vulnerabilidade crítica que pode comprometer a segurança de sistemas essenciais.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).