Sen ShadowPad Malware’ın WSUS Açığını Söğüşlemesi: Kritik Tehdit
WSUS Açığı ve ShadowPad
Microsoft’un Windows Server Update Services (WSUS) sistemindeki bir güvenlik açığı, siber saldırganlar tarafından ShadowPad isimli kötü amaçlı yazılımın dağıtımında aktif olarak kullanılmaya başlandı. Son derece önemli olan CVE-2025-59287 açığı, sistem ayrıcalıkları ile uzaktan kod yürütülmesine olanak tanıyor. AhnLab Güvenlik Zeka Merkezi (ASEC), bu açığın, saldırganların hedef alarak sisteme erişim sağladığını bildirdi.
Saldırının İşleyişi
Saldırganlar, WSUS etkinleştirilmiş Windows Sunucularını hedef alarak açığı istismar ediyor. İlk önce, PowerCat isimli açık kaynaklı bir PowerShell aracı ile sistem shell’ine erişim sağlıyorlar. Ardından, certutil ve curl komutları kullanarak ShadowPad’i indirip kuruyorlar. ShadowPad, 2015’ten bu yana kullanılan ve PlugX’in halefleri arasında yer alan, Çin destekli siber saldırı grupları tarafından yaygın bir şekilde kullanılan modüler bir arka kapıdır.
CVE-2025-59287’nin Etkisi
Bu açığın kapatılması, Microsoft tarafından geçen ay gerçekleştirildi. Ancak saldırganlar, açığın kamuya açıklanmasıyla hızlı bir şekilde onu kullanmaya başladılar. AhnLab’a göre, saldırganlar, uzaktan erişim sağlamak için WSUS sunucuları üzerinden saldırı gerçekleştiriyor ve bu süreçte meşru araçlar olan Velociraptor gibi yazılımları bile bıraktıkları gözlemleniyor.
ShadowPad’in Yetenekleri
ShadowPad, DLL side-loading yöntemi ile başlatılıyor. Bu süreç, meşru bir ikili dosya olan “ETDCtrlHelper.exe”’yi kullanarak, DLL yükleyicisini çalıştıran “ETDApix.dll” dosyasını devreye alıyor. Malware, yüklendikten sonra, diğer gömülü eklentileri bellekte çalıştırmak için tasarlanmış bir çekirdek modülü başlatıyor. Ayrıca, anti-tespit ve kalıcılık teknikleri ile donatıldığından, siber saldırganların fark edilmeden kalmasına olanak tanıyor.
Sonuç ve Öneriler
AhnLab, bu tür kritik açıkların hızla istismar edilmesinin, siber güvenlik açısından büyük bir tehdit oluşturduğunu vurguluyor. CVE-2025-59287, sistem düzeyindeki izinlerle uzaktan kod yürütme olanağı sunduğundan, etkisi oldukça yıkıcı olabilir. Şirketler, WSUS ve diğer güncelleme mekanizmalarını sıkı bir şekilde güvenlik güncellemeleri ile takip etmeli ve uygun güvenlik önlemleri almalıdır.
Siber güvenlik alanında proaktif bir tutum sergilemek, olası saldırılara karşı en etkili savunma yöntemidir. Kullanıcıların ve / veya sistem yöneticilerinin bu tür açıkların farkında olmaları ve kendilerini korumaları gerekiyor. Unutulmamalıdır ki, siber tehditler her geçen gün daha karmaşık hale gelmekte ve bu durum, şirketlerin siber güvenlik stratejilerini güncellemeleri gerekliliğini ortaya koymaktadır.
