WSUS 嚴重漏洞 CVE-2025-59287 的利用與傳播鏈

微軟 Windows 伺服器更新服務 (WSUS) 中最近修復的安全漏洞已被不法分子利用，用於傳播名為 ShadowPad 的惡意軟體。「攻擊者以啟用了 WSUS 的 Windows 伺服器為目標，利用 CVE-2025-59287 漏洞獲取初始存取權限」AhnLab 安全情報中心 (ASEC)在上週發布的報告中指出。「隨後，他們使用PowerCat（基於 PowerShell 的開源 Netcat 工具）獲取系統 shell（CMD）。之後，他們使用 certutil 和 curl 下載並安裝了 ShadowPad。”

微軟上個月發布的 CVE-2025-59287 漏洞，指的是 WSUS 中一個嚴重的序列化漏洞，攻擊者可以利用該漏洞以系統權限遠端執行程式碼。該漏洞已被廣泛利用，攻擊者利用它來獲取對公開 WSUS 實例的初始存取權限，進行偵察，甚至投放 Velociraptor 等合法工具。

AhnLab 表示：「漏洞的概念驗證（PoC）利用程式碼公開後，攻擊者迅速利用該程式碼透過 WSUS 伺服器傳播 ShadowPad 惡意軟體。該漏洞非常嚴重，因為它允許以系統級權限遠端執行程式碼，從而顯著增加了潛在影響。」

ShadowPad 惡意軟體與攻擊鏈細節解析

WSUS 伺服器作為企業內部網路中重要的更新與補丁管理中心，一旦被入侵，其在網路中的高信任度將使攻擊者能夠輕鬆在內部擴散威脅。CVE-2025-59287 是一個序列化漏洞，其嚴重性在於它允許未經身份驗證的遠端程式碼執行（RCE），且執行權限為系統級，這是 Windows 環境中的最高權限。

攻擊者利用該漏洞獲取伺服器初始存取權限後，會立即執行一連串的命令來鞏固立足點並部署最終酬載。報告中揭露的攻擊流程極具代表性：首先利用 PowerCat 這個 PowerShell 基礎的開源 Netcat 工具，建立一個系統級的命令提示符（CMD）連線，提供完全的遠端控制能力。接著，攻擊者利用 Windows 內建的合法工具如 certutil 和 curl 來下載並執行 ShadowPad 惡意軟體。這種使用系統內建工具（Living-off-the-Land, LotL）的戰術，能夠有效規避傳統的安全軟體偵測。

ShadowPad 是一種高危險度的後門惡意軟體，因其模組化設計和強大的偵察與持續性能力而聞名。它通常被與國家級資助的網路間諜活動聯繫起來，一旦成功植入伺服器，將允許攻擊者進行數據竊取、橫向移動、部署其他惡意酬載，並對受感染的網路造成長期且隱蔽的損害。

緊急修補與主動防禦策略建議

鑑於 CVE-2025-59287 漏洞的概念驗證程式碼已公開，且正在被積極利用來傳播 ShadowPad，組織必須將修補（Patching）作為最緊急的優先事項。微軟已發布相應補丁，企業應立即確保所有面向公開網路的 WSUS 實例，以及內部網路中的所有 Windows 伺服器都已更新。

除了緊急修補之外，長期的主動防禦策略包括：

1. 最小權限原則： 嚴格限制 WSUS 服務帳戶的權限範圍，減少 RCE 成功後對整個系統的影響。

2. 網路分段： 將 WSUS 伺服器與核心業務網路進行嚴格的網路隔離和分段，限制其橫向移動能力。

3. 行為監控： 部署 EDR 解決方案，重點監控可疑的進程行為，特別是高權限的 CMD 或 PowerShell 實例在執行如 certutil 或 curl 等工具下載可執行檔的行為。

4. 外部暴露最小化： 對於非必要對外提供服務的 WSUS 實例，應將其從公開網路中隔離，並僅允許內部網路或 VPN 存取。

主動防禦和迅速響應是防止 ShadowPad 這類高階威脅造成更大損害的關鍵。