微软已发布补丁修复67 个安全漏洞,其中包括 Web 分布式创作和版本控制 (WebDAV) 中的一个零日漏洞,据称该漏洞已在野外遭到积极利用。
在这 67 个漏洞中,11 个漏洞的严重程度被评为“严重”,56 个漏洞的严重程度被评为“重要”。其中包括 26 个远程代码执行漏洞、17 个信息泄露漏洞和 14 个权限提升漏洞。
自上个月的补丁星期二更新发布以来,该公司已修复了基于 Chromium 的 Edge 浏览器中的13 个缺陷,此外还发布了这些补丁。
在实际攻击中被武器化的漏洞涉及 WebDAV 中的远程代码执行(CVE-2025-33053,CVSS 评分:8.8),可以通过欺骗用户点击特制的 URL 来触发。
这家科技巨头对发现并报告该漏洞的 Check Point 研究人员 Alexandra Gofman 和 David Driker 表示感谢。值得一提的是,CVE-2025-33053 是 WebDAV 标准中首个被披露的零日漏洞。
在另一份报告中,这家网络安全公司将 CVE-2025-33053 的滥用归咎于一个名为Stealth Falcon (又名 FruityArmor)的威胁行为者,该组织曾利用 Windows 零日漏洞进行攻击。2023 年 9 月,该黑客组织被发现使用名为 Deadglyph 的后门,作为针对卡塔尔和沙特阿拉伯实体的间谍活动的一部分。
尽管公民实验室过去曾指出 Stealth Falcon 行动可能与阿拉伯联合酋长国有关,但 Check Point Research 研究小组经理 Eli Smadja 向 The Hacker News 表示,鉴于他们关注的是这些组织及其策略,因此“无法确认任何国家与该组织有关联”。
斯马贾在谈到最新的攻击活动时表示:“此次攻击活动似乎具有高度针对性,只针对特定的受害者,而非广泛传播。”
简而言之,该威胁序列涉及使用利用 CVE-2025-33053 漏洞的互联网快捷方式 ( URL ) 文件,从受攻击者控制的 WebDAV 服务器执行恶意软件。Check Point 表示,CVE-2025-33053 漏洞允许通过操纵工作目录来执行远程代码。
在针对土耳其一家未具名国防公司的攻击链中,据称威胁行为者利用 CVE-2025-33053 漏洞来传播 Horus Agent,这是一款为Mythic命令与控制 (C2) 框架构建的定制植入程序。据信,用于发起攻击的恶意负载是一个 URL 快捷方式文件,它以钓鱼邮件的存档附件形式发送。
该 URL 文件用于启动 iediagcmd.exe(Internet Explorer 的合法诊断实用程序),利用它启动另一个名为 Horus Loader 的有效负载,该有效负载负责提供诱饵 PDF 文档并执行 Horus Agent。
Check Point 表示:“该植入程序用 C++ 编写,除了与 Mythic C2 通信相关的通用逻辑存在共通性外,与已知的基于 C 语言的 Mythic 代理程序没有显著重叠。虽然加载程序会采取一些措施来保护有效载荷,但威胁行为者在后门本身也采取了额外的预防措施。”
这包括使用字符串加密和控制流扁平化等技术来增加分析工作的复杂性。之后,后门会连接到远程服务器,执行收集系统信息、枚举文件和文件夹、从服务器下载文件、将 Shellcode 注入正在运行的进程以及退出程序等任务。
|
CVE-2025-33053感染链 |
Horus Agent 被认为是定制 Apollo 植入物的演变,Apollo 植入物是 Mythic 框架的开源 .NET 代理,此前已于 2022 年至 2023 年期间由 Stealth Falcon 使用。
Check Point 表示:“Horus 是威胁组织定制的 Apollo 植入物的更高级版本,用 C++ 重写、改进和重构。”
与 Horus 版本类似,Apollo 版本引入了广泛的受害者指纹识别功能,同时限制了支持的命令数量。这使得威胁行为者能够专注于隐秘地识别受感染的机器并进行下一阶段的有效载荷交付,同时使植入体的大小显著小于完整代理(仅 120KB)。
该公司表示,还观察到威胁行为者利用了几种以前未记录的工具,例如:
- 凭据转储器,针对已受感染的域控制器,窃取 Active Directory 和域控制器凭据相关文件
- 被动后门,监听传入请求并执行 Shellcode 有效负载
- Keylogger,一个自定义的 C++ 工具,用于记录所有击键并将其写入“C:/windows/temp/~TN%LogName%.tmp”下的文件中
值得注意的是,该键盘记录器缺乏任何 C2 机制,这意味着它很可能与另一个可以将文件泄露给攻击者的组件协同工作。
Check Point 研究团队表示:“Stealth Falcon 采用了商业代码混淆和保护工具,以及针对不同有效载荷类型定制的修改版本。这使得他们的工具更难以进行逆向工程,并使跟踪技术变化变得更加复杂。”
CVE-2025-33053 的活跃利用促使美国网络安全和基础设施安全局 (CISA) 将其添加到已知利用漏洞 ( KEV ) 目录中,要求联邦民事行政部门 (FCEB) 机构在 2025 年 7 月 1 日之前应用修复程序。
Action1 总裁兼联合创始人 Mike Walters表示: “这个漏洞尤其令人担忧,因为 WebDAV 在企业环境中被广泛用于远程文件共享和协作。许多组织出于合法的业务需求而启用 WebDAV,但通常并未完全了解其带来的安全风险。”
微软已解决的最严重漏洞是 Power Automate 中的一个权限提升漏洞 ( CVE-2025-47966,CVSS 评分:9.8),该漏洞可能允许攻击者通过网络提升权限。不过,客户无需采取任何措施来缓解该漏洞。
其他值得注意的漏洞包括通用日志文件系统驱动程序(CVE-2025-32713,CVSS 分数:7.8)、Windows Netlogon(CVE-2025-33070,CVSS 分数:8.1)和 Windows SMB 客户端(CVE-2025-33073,CVSS 分数:8.8)中的特权提升漏洞,以及 Windows KDC 代理服务(CVE-2025-33071,CVSS 分数:8.1)中的严重未经身份验证的 RCE 漏洞。
Immersive 首席网络安全工程师 Ben McCarthy 表示: “在过去的几个月里,CLFS 驱动程序因在多个勒索软件操作中被利用而成为威胁行为者和安全研究人员关注的焦点。”
它被归类为基于堆的缓冲区溢出——一种内存损坏漏洞。攻击复杂度较低,成功利用该漏洞可帮助攻击者提升权限。
CVE-2025-33073 是发布时唯一被列为公开的漏洞,CrowdStrike、Synacktiv、SySS GmbH、RedTeam Pentesting 和 Google Project Zero 均已承认报告了该漏洞。
Synacktiv 研究人员 Wilfried Bécard 和 Guillaume André表示:“尽管微软将 CVE-2025-33073 称为权限提升,但它实际上是在任何不强制执行 SMB 签名的机器上以 SYSTEM 权限执行经过身份验证的远程命令。”
|
反射型 Kerberos 中继攻击(CVE-2025-33073) |
利用该漏洞的途径是受害者连接到攻击者控制的恶意 SMB 服务器,最终通过反射式 Kerberos 中继攻击实现权限提升。
RedTeam Pentesting 在一份技术分析报告中指出: “此次攻击的原理是,我们强制 Windows 主机通过 SMB 连接到我们的攻击系统,并通过 Kerberos 进行身份验证。然后,Kerberos 票证会通过 SMB 再次中继回同一台主机。由此产生的 SMB 会话拥有足以执行任意命令的高权限 NT AUTHORITYSYSTEM 权限。”
Rapid7 首席软件工程师 Adam Barnett 表示,利用 CVE-2025-33071 需要攻击者利用加密漏洞并赢得竞争条件。
“坏消息是,微软认为无论如何都更有可能发生漏洞利用,而且由于 KDC 代理可以帮助来自不受信任网络的 Kerberos 请求更轻松地访问受信任资产,而无需从客户端到域控制器的直接 TCP 连接,因此这里的权衡是 KDC 代理本身很可能暴露给不受信任的网络,”Barnett 补充道。
最后但同样重要的一点是,微软还推出了补丁来修复Binarly发现的安全启动绕过漏洞( CVE-2025-3052,CVSS 评分:6.7),该漏洞允许执行不受信任的软件。
雷德蒙德在一份警报中表示:“使用微软第三方 UEFI 证书签名的 UEFI 应用程序中存在漏洞,攻击者可以利用该漏洞绕过 UEFI 安全启动。成功利用此漏洞的攻击者可以绕过安全启动。”
计算机紧急响应小组 (CERT) 协调中心 (CERT/CC) 在周二发布的一份公告中表示,该漏洞的根源在于 DT Research 的统一可扩展固件接口 (UEFI) 应用程序 DTBios 和 BiosFlashShell,允许使用特制的 NVRAM 变量绕过安全启动。
CERT/CC表示:“该漏洞源于对运行时 NVRAM 变量的不当处理,从而导致任意写入原语,能够修改关键固件结构,包括用于安全启动验证的全局 Security2 架构协议。”
“由于受影响的应用程序由 Microsoft UEFI 证书颁发机构签名,因此可以在任何符合 UEFI 的系统上利用此漏洞,从而允许未签名的代码在启动过程中运行。”
成功利用该漏洞甚至可能允许在操作系统加载之前执行未签名或恶意代码,这可能使攻击者能够删除可以在重启后继续存在的持久性恶意软件,甚至可以禁用安全软件。
然而,微软并未受到 CVE-2025-4275(又名Hydroph0bia)的影响,这是 InsydeH2O UEFI 应用程序中存在的另一个安全启动绕过漏洞,该漏洞允许通过不受保护的 NVRAM 变量(“SecureFlashCertData”)注入数字证书,从而导致在固件级别执行任意代码。
CERT/CC表示: “此问题源于对 NVRAM 变量的不安全使用,该变量在信任验证链中用作数字证书的可信存储。攻击者可以将自己的证书存储在此变量中,然后在 UEFI 环境的早期启动过程中运行任意固件(由注入的证书签名)。”
原文始发于微信公众号(河南等级保护测评):微软2025年6月份于周二补丁日针对67漏洞发布安全补丁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论