⚠️ ช่องโหว่ WSUS RCE ถูกใช้โจมตีเพื่อติดตั้ง ShadowPad นักวิจัยจาก AhnLab Security Intelligence Center (ASEC) รายงานว่าแฮกเกอร์ได้ใช้ช่องโหว่ Remote Code Execution (RCE) ใน WSUS เพื่อรันคำสั่ง PowerShell และติดตั้ง ShadowPad ซึ่งเป็นมัลแวร์ที่ถูกใช้ในหลายการโจมตีระดับชาติ ตั้งแต่ปี 2017 เป็นต้นมา หลังจากที่โค้ด PoC (Proof-of-Concept) ถูกเผยแพร่สาธารณะเมื่อวันที่ 22 ตุลาคม 2025 แฮกเกอร์ก็รีบปรับใช้เพื่อโจมตีทันที โดยเริ่มจากการใช้ PowerCat เพื่อเปิด shell ระดับ SYSTEM จากนั้นใช้เครื่องมือ Windows ที่ถูกต้อง เช่น curl.exe และ certutil.exe ในการดาวน์โหลดและถอดรหัสไฟล์มัลแวร์ ShadowPad ให้ทำงานบนเซิร์ฟเวอร์เป้าหมาย ShadowPad ไม่ได้ทำงานเป็นไฟล์เดี่ยว แต่จะซ่อนตัวอยู่หลังโปรแกรมที่ถูกต้อง โดยไฟล์ .tmp ที่ถูกถอดรหัสจะบรรจุข้อมูลการตั้งค่าและโมดูลการทำงานของ backdoor ทำให้ผู้โจมตีสามารถควบคุมระบบได้อย่างลึกซึ้งและยาวนาน 📌 สรุปสาระสำคัญ ✅ รายละเอียดช่องโหว่ CVE-2025-59287 ➡️ เป็น Remote Code Execution (RCE) ใน WSUS ➡️ คะแนน CVSS สูงมาก (Critical) ✅ วิธีการโจมตีที่พบ ➡️ ใช้ PowerCat เพื่อเปิด SYSTEM shell ➡️ ใช้ curl.exe และ certutil.exe เพื่อติดตั้ง ShadowPad ‼️ ความเสี่ยงต่อองค์กร ⛔ ผู้โจมตีสามารถควบคุม Windows Server ได้เต็มรูปแบบ ⛔ ShadowPad ถูกใช้ในหลายการโจมตีระดับชาติและการสอดแนม ‼️ ข้อควรระวังสำหรับผู้ดูแลระบบ ⛔ รีบอัปเดตแพตช์ล่าสุดจาก Microsoft ⛔ จำกัดการเข้าถึง WSUS เฉพาะจาก Microsoft Update เท่านั้น ⛔ บล็อกการเข้าถึง TCP 8530 และ 8531 จากแหล่งที่ไม่เกี่ยวข้อง ⛔ ตรวจสอบประวัติการรัน PowerShell, certutil.exe และ curl.exe https://securityonline.info/critical-wsus-rce-cve-2025-59287-actively-exploited-to-deploy-shadowpad-backdoor/