🔎 Cyberveille

Une faille critique dans WSUS a ouvert la voie à l’installation de ShadowPad sur des serveurs Windows exposés. La vulnérabilité a depuis été corrigée, mais son exploit circule largement et alimente déjà des attaques ciblées.

Réservé aux environnements professionnels, Windows Server Update Services (WSUS) sert depuis des années à distribuer les correctifs Windows dans les réseaux d’entreprise. Le mois dernier, Microsoft a corrigé une vulnérabilité sérieuse dans ce service, référencée CVE-2025-59287, un bug de désérialisation qui permet à un attaquant d’exécuter du code à distance avec les privilèges système sur un serveur vulnérable. Dans le même temps, un code d’exploitation fonctionnel a commencé à circuler et certains groupes malveillants s’en servent déjà pour prendre la main sur des serveurs WSUS exposés sur Internet et y déployer ShadowPad, un cheval de Troie modulaire souvent associé à des groupes d’espionnage chinois, actif depuis près de dix ans et utilisé dans des campagnes axées sur la collecte d’informations sensibles et le maintien d’un accès prolongé aux systèmes compromis.