Patch Microsoft 67 Kerentanan termasuk WebDAV Zero-Day Dieksploitasi di alam liar

Microsoft telah merilis tambalan untuk memperbaiki 67 kelemahan keamanan, termasuk satu bug nol-hari di Web Terdistribusi Penulisan dan Versi (WebDAV) yang katanya telah berada di bawah eksploitasi aktif di alam liar.

Dari 67 kerentanan, 11 dinilai kritis dan 56 dinilai penting dalam keparahan. Ini termasuk 26 kelemahan eksekusi kode jarak jauh, 17 kelemahan pengungkapan informasi, dan 14 kelemahan eskalasi hak istimewa.

Patch tersebut merupakan tambahan dari 13 kekurangan yang ditangani oleh perusahaan di browser Edge berbasis kromium sejak rilis pembaruan Patch Tuesday bulan lalu.

Kerentanan yang telah dipersenjatai dalam serangan dunia nyata menyangkut eksekusi kode jarak jauh di WebDAV (CVE-2025-33053, skor CVSS: 8.8) yang dapat dipicu oleh penipuan pengguna untuk mengklik URL yang dibuat khusus.

Raksasa teknologi itu memuji peneliti poin cek Alexandra GoFman dan David Driker karena telah menemukan dan melaporkan bug tersebut. Perlu disebutkan bahwa CVE-2025-33053 adalah kerentanan nol-hari pertama yang diungkapkan dalam standar WebDAV.

Dalam laporan terpisah, perusahaan cybersecurity mengaitkan penyalahgunaan CVE-2025-33053 dengan aktor ancaman yang dikenal sebagai Stealth Falcon (alias Fruityarmor), yang memiliki sejarah memanfaatkan Windows Zero-Days dalam serangannya. Pada bulan September 2023, kelompok peretasan diamati menggunakan backdoor yang dijuluki Deadglyph sebagai bagian dari kampanye spionase yang ditujukan untuk entitas di Qatar dan Arab Saudi.

“Serangan menggunakan file .url yang mengeksploitasi kerentanan nol-hari (CVE-2025-33053) untuk menjalankan malware dari server WebDAV yang dikendalikan aktor,” kata Check Point. “CVE-2025-33053 memungkinkan eksekusi kode jarak jauh melalui manipulasi direktori kerja.”

Dalam rantai serangan yang diamati melawan perusahaan pertahanan yang tidak disebutkan namanya di Turki, aktor ancaman dikatakan telah mempekerjakan CVE-2025-33053 untuk memberikan agen Horus, implan khusus yang dibangun untuk kerangka kerja komando-dan-kontrol mitos (C2). Dipercayai bahwa muatan jahat yang digunakan untuk memulai serangan itu, file jalan pintas URL, dikirim sebagai lampiran yang diarsipkan dalam email phishing.

File URL digunakan untuk meluncurkan IEDAGCMD.exe, utilitas diagnostik yang sah untuk Internet Explorer, memanfaatkannya untuk meluncurkan muatan lain yang disebut Horus Loader, yang bertanggung jawab untuk melayani dokumen PDF umpan dan melaksanakan agen Horus.

“Ditulis dalam C ++, implan tidak menunjukkan tumpang tindih yang signifikan dengan agen mitos berbasis C yang diketahui, selain dari kesamaan dalam logika generik yang terkait dengan komunikasi C2 mitos,” kata Check Point. “Sementara loader memastikan untuk menerapkan beberapa langkah untuk melindungi muatan, aktor ancaman menempatkan tindakan pencegahan tambahan di dalam pintu belakang itu sendiri.”

Ini termasuk penggunaan teknik seperti enkripsi string dan perataan aliran kontrol untuk memperumit upaya analisis. Backdoor kemudian terhubung ke server jarak jauh untuk mengambil tugas yang memungkinkannya mengumpulkan informasi sistem, menyebutkan file dan folder, mengunduh file dari server, menyuntikkan shellcode ke dalam proses yang berjalan, dan keluar dari program.

CVE-2025-33053 Rantai Infeksi

Horus Agent dinilai sebagai evolusi dari implan Apollo yang disesuaikan, agen .NET open-source untuk kerangka mitos, yang sebelumnya digunakan oleh Stealth Falcon antara 2022 dan 2023.

“Horus adalah versi yang lebih canggih dari implan Apollo kustom grup ancaman, ditulis ulang dalam C ++, ditingkatkan, dan direfaktor,” kata Check Point.

“Mirip dengan versi Horus, versi Apollo memperkenalkan kemampuan sidik jari korban yang luas sambil membatasi jumlah perintah yang didukung. Hal ini memungkinkan para aktor ancaman untuk fokus pada identifikasi secara diam -diam dari mesin yang terinfeksi dan pengiriman muatan tahap berikutnya, sementara juga menjaga ukuran implan secara signifikan lebih kecil (hanya 120kB) daripada agen penuh.”

Perusahaan mengatakan juga mengamati aktor ancaman yang memanfaatkan beberapa alat yang sebelumnya tidak berdokumen seperti berikut –

• Kredensial Dumper, yang menargetkan pengontrol domain yang sudah dikompromikan untuk mencuri file Active Directory dan Domain Controller yang terkait dengan kredensial
• Pasif Backdoor, yang mendengarkan permintaan yang masuk dan mengeksekusi muatan shellcode
• KeyLogger, alat C ++ khusus yang merekam semua tombol dan menulisnya ke file di bawah “c: /windows/temp/~tn%Logname%.tmp”

Keylogger terutama tidak memiliki mekanisme C2, yang berarti bahwa ia kemungkinan bekerja bersama dengan komponen lain yang dapat mengeluarkan file ke penyerang.

“Stealth Falcon menggunakan pengayaan kode komersial dan alat perlindungan, serta versi yang dimodifikasi khusus yang dirancang untuk berbagai jenis muatan,” kata titik cek. “Ini membuat alat mereka lebih sulit untuk merekayasa balik dan memperumit pelacakan perubahan teknis dari waktu ke waktu.”

Eksploitasi aktif CVE-2025-33053 telah mendorong Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) untuk menambahkannya ke katalog kerentanan yang diketahui (KEV) yang diketahui, yang mewajibkan lembaga Cabang Eksekutif Sipil Federal (FCEB) untuk menerapkan perbaikan pada 1 Juli 2025.

“Apa yang membuat cacat ini sangat memprihatinkan adalah penggunaan WebDAV di lingkungan perusahaan untuk berbagi dan kolaborasi file jarak jauh,” kata Mike Walters, presiden dan salah satu pendiri Action1. “Banyak organisasi memungkinkan WebDAV untuk kebutuhan bisnis yang sah – seringkali tanpa sepenuhnya memahami risiko keamanan yang diperkenalkannya.”

Kerentanan paling parah yang diselesaikan oleh Microsoft adalah cacat eskalasi hak istimewa di Power Automate (CVE-2025-47966, skor CVSS: 9.8) yang dapat memungkinkan penyerang untuk meningkatkan hak istimewa atas jaringan. Namun, tidak ada tindakan pelanggan yang diperlukan untuk mengurangi bug.

Kerentanan lain dari catatan termasuk peningkatan cacat hak istimewa pada driver sistem file log umum (CVE-2025-32713, skor CVSS: 7.8), Windows Netlogon (CVE-2025-33070, CVSS SCORE: 8.1), dan Windows SMB Client (CVE-2025-33073, CVSS SCORE (8.1), dan Windows SMB (CVE-2025-33073, CVSS SCORE), CVES (CVE-2025-33073, CVSS. Di Windows KDC Proxy Service (CVE-2025-33071, Skor CVSS: 8.1).

“Selama beberapa bulan terakhir, pengemudi CLFS telah menjadi fokus yang konsisten bagi para aktor ancaman dan peneliti keamanan karena eksploitasi dalam berbagai operasi ransomware,” kata Ben McCarthy, insinyur keamanan dunia maya di Immersive.

“Ini dikategorikan sebagai penyangga berbasis heap-jenis kerentanan korupsi memori. Kompleksitas serangan dianggap rendah, dan eksploitasi yang berhasil memungkinkan penyerang untuk meningkatkan hak istimewa.”

Adam Barnett, insinyur perangkat lunak utama di Rapid7, mengatakan eksploitasi CVE-2025-33071 mengharuskan penyerang untuk mengeksploitasi cacat kriptografi dan memenangkan kondisi balapan.

“The bad news is that Microsoft considers exploitation more likely regardless, and since a KDC proxy helps Kerberos requests from untrusted networks more easily access trusted assets without any need for a direct TCP connection from the client to the domain controller, the trade-off here is that the KDC proxy itself is quite likely to be exposed to an untrusted network,” Barnett added.

Last but not least, Microsoft juga telah meluncurkan tambalan untuk memulihkan bug bypass boot aman (CVE-2025-3052, skor CVSS: 6.7) ditemukan oleh Binarly yang memungkinkan pelaksanaan perangkat lunak yang tidak dipercaya.

“Kerentanan ada dalam aplikasi UEFI yang ditandatangani dengan sertifikat UEFI pihak ketiga Microsoft, yang memungkinkan penyerang mem-boot boot aman UEFI,” kata Redmond dalam peringatan. “Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat melewati boot yang aman.”

Cert Coordination Center (CERT/CC), dalam penasihat yang dirilis Selasa, mengatakan kerentanan tersebut berakar pada aplikasi Interface Interface (UEFI) terpadu yang dapat diperluas (UEFI) DTBIOS dan BiosFlashshell dari DT Research, memungkinkan boot boot aman menggunakan variabel NVRAM yang dibuat khusus.

“Kerentanan berasal dari penanganan yang tidak tepat dari variabel nvram runtime yang memungkinkan primitif menulis primitif yang sewenang -wenang, mampu memodifikasi struktur firmware kritis, termasuk protokol arsitektur Global Security2 yang digunakan untuk verifikasi boot aman,” kata CERT/CC.

“Karena aplikasi yang terkena dampak ditandatangani oleh Otoritas Sertifikat Microsoft UEFI, kerentanan ini dapat dieksploitasi pada sistem yang sesuai dengan UEFI, yang memungkinkan kode yang tidak ditandatangani untuk berjalan selama proses boot.”

Eksploitasi kerentanan yang berhasil dapat memungkinkan pelaksanaan kode yang tidak ditandatangani atau berbahaya bahkan sebelum sistem operasi memuat, berpotensi memungkinkan penyerang untuk menjatuhkan malware persisten yang dapat bertahan reboot dan bahkan menonaktifkan perangkat lunak keamanan.

Microsoft, bagaimanapun, tidak terpengaruh oleh CVE-2025-4275 (alias Hydroph0BIA), kerentanan bypass boot aman lainnya yang ada dalam aplikasi UEFI Insydeh2o yang memungkinkan injeksi sertifikat digital melalui variabel NVRAM yang tidak dilindungi (“SecureflashCertData”), yang dihasilkan dalam NVRAM Level.

“Masalah ini muncul dari penggunaan variabel NVRAM yang tidak aman, yang digunakan sebagai penyimpanan tepercaya untuk sertifikat digital dalam rantai validasi kepercayaan,” kata CERT/CC. “Seorang penyerang dapat menyimpan sertifikat mereka sendiri dalam variabel ini dan kemudian menjalankan firmware sewenang -wenang (ditandatangani oleh sertifikat yang disuntikkan) selama proses boot awal dalam lingkungan UEFI.”

Patch perangkat lunak dari vendor lain

Selain Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain selama beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, termasuk –

• Adobe
• Layanan Web Amazon
• AMD
• Lengan
• Atlassian
• AutomationDirect
• Bosch
• Broadcom (termasuk VMware)
• Canon
• Cisco
• D-link
• Dell
• Drupal
• F5
• Fortinet
• Gitlab
• Google Android dan Pixel
• Google Chrome
• Google Cloud
• Energi Hitachi
• Hp
• HP Enterprise (termasuk Aruba Networking)
• IBM
• Intel
• Insyde
• Ivanti
• Jenkins
• Jaringan Juniper
• Lenovo
• Distribusi Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, dan Ubuntu
• Mediatek
• Mitel
• Mitsubishi Electric
• Moxa
• Mozilla Firefox dan Thunderbird
• Nvidia
• Jaringan Palo Alto
• Teknologi Phoenix
• Qnap
• Qualcomm
• Roundcube
• Salesforce
• Samsung
• GETAH
• Schneider Electric
• Siemens
• SolarWinds
• Sonicwall
• Splunk
• Kerangka kerja musim semi
• Synology
• Tren Micro Apex Central, Apex One, Endpoint Encryption Policyserver, dan WFBS
• Veritas
• Zimbra, dan
• Zoho Managemine Exchange Reporter Plus dan Opmanager