Une faille critique dans WSUS a ouvert la voie à l’installation de ShadowPad sur des serveurs Windows exposés. La vulnérabilité a depuis été corrigée, mais son exploit circule largement et alimente déjà des attaques ciblées.
Réservé aux environnements professionnels, Windows Server Update Services (WSUS) sert depuis des années à distribuer les correctifs Windows dans les réseaux d’entreprise. Le mois dernier, Microsoft a corrigé une vulnérabilité sérieuse dans ce service, référencée CVE-2025-59287, un bug de désérialisation qui permet à un attaquant d’exécuter du code à distance avec les privilèges système sur un serveur vulnérable. Dans le même temps, un code d’exploitation fonctionnel a commencé à circuler et certains groupes malveillants s’en servent déjà pour prendre la main sur des serveurs WSUS exposés sur Internet et y déployer ShadowPad, un cheval de Troie modulaire souvent associé à des groupes d’espionnage chinois, actif depuis près de dix ans et utilisé dans des campagnes axées sur la collecte d’informations sensibles et le maintien d’un accès prolongé aux systèmes compromis.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un composant clé de Windows Server transformé en vecteur d’intrusion
On doit cette découverte aux analystes d’AhnLab, qui ont documenté la compromission complète d’un serveur Windows utilisant WSUS et exposé sur Internet. Dans le scénario qu’ils décrivent, les attaquants exploitent la vulnérabilité CVE-2025-59287 afin d’exécuter du code avec les privilèges système, prendre la main sur le serveur de mise à jour et l’utiliser comme point d’entrée dans le réseau d’entreprise.
Une fois cet accès obtenu, la chaîne d’attaque repose presque uniquement sur des outils légitimes. Les opérateurs déploient PowerCat, une variante PowerShell de Netcat, afin d’ouvrir une invite de commandes à distance, puis s’appuient sur certutil et curl pour contacter un serveur externe et y télécharger les fichiers nécessaires à l’installation de ShadowPad.
Le déploiement s’appuie ensuite sur un détournement de DLL : les attaquants utilisent l’exécutable légitime ETDCtrlHelper.exe pour charger ETDApix.dll, une bibliothèque modifiée destinée à injecter le code de la porte dérobée en mémoire. L’architecture modulaire de ShadowPad lui permet ensuite de charger ses plugins internes pour assurer persistance, exécution de commandes, collecte d’informations sensibles (inventaire système, liste des processus, configuration réseau, données stockées en clair) et communications chiffrées avec son serveur de contrôle (déploiement de charges secondaires, préparation de mouvements latéraux, exfiltration de données).
AhnLab rappelle que l’exploitation s’est accélérée après la publication d’un proof of concept public, ce qui renforce l’urgence pour les administrateurs de vérifier l’état de leurs infrastructures WSUS.
AhnLab mentionne une adresse IP et un port bien précis, qui peuvent déjà servir de repère aux équipes qui surveillent les flux sortants de leurs serveurs WSUS.
Comment sécuriser WSUS et détecter ShadowPad
Dans son rapport, AhnLab a par ailleurs noté une hausse rapide des tentatives d’exploitation depuis la mise en ligne d’un exploit public, ce qui doit pousser les équipes en charge de Windows Server à vérifier en urgence l’état de leurs infrastructures WSUS. Première étape, s’assurer que tous les serveurs concernés ont bien reçu le correctif publié par Microsoft, y compris ceux déployés pour des tests, laissés en préproduction ou conservés en ligne pour des besoins ponctuels.
Hors scénarios spécifiques prévus pour des postes nomades, gardez également en tête que WSUS n’a pas vocation à être joignable depuis Internet, le service ayant seulement besoin d’un accès sortant vers Microsoft Update ou vers un serveur WSUS en amont. De fait, les instances accessibles sur le web élargissent inutilement la surface d’attaque, d’autant que ces instances apparaissent très vite dans les scans automatisés qui recensent les serveurs vulnérables.
Pensez également à passer au crible les journaux Windows, de l’historique des commandes PowerShell à l’exécution de certutil ou de curl, ainsi que les logs réseau, pour repérer d’éventuels téléchargements ou connexions qui ne correspondent pas au fonctionnement habituel de WSUS.
Un examen du système peut également aider à repérer une implantation plus avancée. Les environnements sensibles ont intérêt à vérifier la présence de binaires détournés comme ETDCtrlHelper.exe ou d’une DLL non signée portant le nom ETDApix.dll, deux éléments caractéristiques du sideloading observé par AhnLab. L’usage de ShadowPad étant fréquemment associé à des accès de longue durée, un audit approfondi des tâches planifiées, des clés de registre et des modules chargés en mémoire doit permettre d’identifier toute installation malveillante, aussi discrète soit-elle.
Enfin, les organisations utilisant WSUS pour piloter la distribution des mises à jour doivent impérativement surveiller ce qui transite réellement par le service, un serveur compromis pouvant devenir un relais pour pousser des charges indésirables vers l’ensemble du parc.
Source : AhnLab
