Microsoft-patches 67 Sikkerhed Mangler, Inklusive CVE-2025-33053

Microsoft har udgivet en omfattende sikkerhedsopdatering, der adresserer 67 sårbarheder på tværs af softwareøkosystemet. Dette inkluderer en kritisk zero-day sårbarhed i webdistribueret redigering og versionsstyring (WebDAV) som i øjeblikket udnyttes i angreb i den virkelige verden.

Fordeling af juni 2025 Patch Tuesday-opdatering

Juni 2025 opdatering kategoriserer 11 sårbarheder som kritiske og 56 som vigtigt. Blandt de rettet problemer er:

• 26 Fjernbetjening af kode (RCE) fejl
• 17 Fejl i offentliggørelse af oplysninger
• 14 Sårbarheder i forbindelse med eskalering af rettigheder

Ud over disse, Microsoft løste 13 sikkerhedsproblemer i dens Chromium-baserede Edge-browser siden den sidste Patch Tuesday.

Nuldagsudnyttelse: CVE-2025-33053 i WebDAV

En af de mest betydelige trusler, der er blevet opdateret denne måned, er en fejl i fjernudførelse af kode i WebDAV., sporet som CVE-2025-33053 med en CVSS-score på 8.8. Fejlen kan udnyttes ved at narre brugere til at klikke på en specialdesignet URL., som udløser malware-kørsel via en fjernserver.

Denne nuldags-, den første nogensinde rapporteret i WebDAV-protokollen, blev opdaget af Check Point-forskerne Alexandra Gofman og David Driker. Ifølge Check Point, Fejlen gør det muligt for angribere at manipulere arbejdsmappen for at udføre kode eksternt.

Stealth Falcons målrettede kampagne

Cybersikkerhedsforskere har tilskrevet Stealth Falcon udnyttelsen af CVE-2025-33053, også kendt som FruityArmor, en trusselskuespiller kendt for udnyttelse af Windows zero-days. I et nyligt angreb rettet mod en tyrkisk forsvarsentreprenør, Stealth Falcon installerede en ondsindet genvejsfil i en phishing-e-mail, som lancerede en sofistikeret malware-leveringskæde.

Angrebet begyndte med en .url fil, der udnytter WebDAV-fejlen til at køre `iediagcmd.exe`, et legitimt diagnosticeringsværktøj til Internet Explorer. Dette værktøj blev derefter lanceret Horus-læsser, som viste et lokkefugle-PDF-dokument under indlæsning Horus-agent, et specialbygget implantat bygget ved hjælp af Mythic kommando-og-kontrol-rammeværket.

Skrevet i C++, Horus Agent er en videreudvikling af gruppens tidligere implantat, *Apollo*, og inkorporerer stealth-forbedringer såsom strengkryptering og kontrolflow-udjævning. Den opretter forbindelse til en fjernserver for at hente kommandoer såsom systemoptælling, filadgang, og shellcode-injektion.

Nye værktøjer i trusselaktørens arsenal

Check Points analyse identificerede også tidligere udokumenterede værktøjer, der blev brugt i kampagnen., Herunder:

• Legitimationsdumper, som udtrækker legitimationsoplysninger fra kompromitterede domænecontrollere
• Passiv bagdør, som lytter efter indgående C2-anmodninger og udfører shellcode
• Keylogger, som er specialbygget i C++ til at optage tastetryk i en midlertidig fil, mangler direkte C2-kapacitet

Disse værktøjer er beskyttet med kommerciel obfuskationssoftware og tilpasset for at undgå reverse engineering..

CISA-respons og branchens bekymringer

På grund af aktiv udnyttelse af CVE-2025-33053, USA. Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet den til sine kendte udnyttede sårbarheder (KEV) katalog, pålægger føderale myndigheder at rette fejlen inden juli 1, 2025.

Mike Walters, Præsident for Action1, understregede, at fejlen er særligt farlig på grund af WebDAV's udbredte brug i virksomhedsmiljøer til fildeling og samarbejde, ofte uden fuld forståelse af sikkerhedsmæssige konsekvenser.

Andre sårbarheder med stor indflydelse

Blandt de mest kritiske problemer, der er blevet løst, er en fejl i eskalering af rettigheder i Microsoft Power Automate. (CVE-2025-47966), som scorede 9.8 på CVSS skala. Microsoft bekræftede, at der ikke kræves nogen brugerhandling for denne patch.

Andre bemærkelsesværdige sårbarheder inkluderer:

• CVE-2025-32713 – Udvidelse af rettigheder i Common Log File System-driveren
• CVE-2025-33070 – Privilegieeskalering i Windows Netlogon
• CVE-2025-33073 – En offentligt kendt sårbarhed i Windows SMB-klient, hvilket forskere afslørede faktisk er en autentificeret RCE via et reflekterende Kerberos-relæangreb

Sikkerhedsforsker Ben McCarthy bemærkede, at CLFS-sårbarheden er et lavkomplekst heap-overflow, der har tiltrukket sig opmærksomhed fra ransomware-aktører i de seneste måneder..

I mellemtiden, CVE-2025-33073, rapporteret af flere forskerhold, herunder Google Project Zero og Synacktiv, tillader angribere at opnå kommandoudførelse på SYSTEM-niveau ved at udnytte forkert konfigureret SMB-signering.

KDC Proxy-fejl og sikker opstartsomgåelse

CVE-2025-33071, en sårbarhed over fjernudførelse af kode i Windows KDC Proxy, involverer en kryptografisk kapløbsbetingelse. Ifølge Rapid7s Adam Barnett, det er sandsynligt, at det kan udnyttes i virkelige scenarier på grund af KDC-proxyeksponeringens karakter i virksomhedsnetværk..

Derudover, Microsoft har rettet en sårbarhed i Secure Boot Bypass (CVE-2025-3052), opdaget af Binarly. Problemet påvirker UEFI-applikationer, der er signeret med Microsofts tredjeparts UEFI-certifikat, og tillader skadelig kode at udføres, før operativsystemet indlæses..

CERT/CC forklarede, at den grundlæggende årsag ligger i, hvordan DT Researchs UEFI-apps håndterer NVRAM-variabler.. Forkert adgangskontrol giver en angriber mulighed for at ændre kritiske firmwarestrukturer, muliggør persistens og systemkompromittering på firmwareniveau.

Hydrofobium: Endnu en sikker opstartsbypass, der ikke er opdateret af Microsoft

Selvom det ikke påvirker Microsoft direkte, endnu en sikker startomgåelse (CVE-2025-4275), døbt Hydrophobia, blev også afsløret. Denne sårbarhed stammer fra usikker brug af en ubeskyttet NVRAM-variabel i InsydeH2O-firmwaren., tillader angribere at injicere deres egne betroede digitale certifikater og udføre vilkårlig firmware under tidlig opstart.

---

Naturligvis, Organisationer opfordres til at prioritere de nyligt opdaterede sårbarheder, især dem, der er under aktiv udnyttelse, som f.eks. CVE-2025-33053.