Nach Beobachtung von Arctic Wolf setzen die Angreifer die Schwachstelle ein, um die Kontrolle über administrative Konten zu erlangen. Anschließend führen sie Befehle aus der Ferne aus, um über den Befehl curl Base64-kodierte Schaddaten von einem externen Server (216.126.225[.]156) nachzuladen.

Im weiteren Verlauf legen die unbekannten Täter zusätzliche Administratorkonten an. Dazu nutzen sie “runkbot.exe”, einen zum SMA-Agenten gehörenden Hintergrundprozess, der eigentlich dem Ausführen von Skripten und dem Verwalten von Installationen dient. Darüber hinaus stellte Arctic Wolf Änderungen an der Windows-Registry durch ein PowerShell-Skript fest, die der dauerhaften Verankerung im System oder veränderten Systemeinstellungen dienen könnten.

CVE-2025-32975 erlaubt es Angreifern, sich ohne gültige Zugangsdaten als legitime Nutzer auszugeben, und kann so zur vollständigen Übernahme administrativer Konten führen. Den Höchstwert von 10.0 auf der CVSS-Skala erreicht die Lücke, weil sie ohne Authentifizierung ausnutzbar ist und weitreichende Folgen hat.

Quest hat das Problem bereits im Mai 2025 behoben. Korrigiert ist es in den Versionen 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) und 14.1.101 (Patch 4). Zur Abwehr empfiehlt Arctic Wolf, die aktuellen Updates einzuspielen und SMA-Instanzen nicht aus dem Internet erreichbar zu machen.