Microsoft hat ein umfassendes Sicherheitsupdate veröffentlicht, das 67 Schwachstellen im gesamten Software-Ökosystem. Hierzu gehört eine kritische Zero-Day-Schwachstelle in Web-verteilter Erstellung und Versionierung (WebDAV) das derzeit in realen Angriffen ausgenutzt wird.
Aufschlüsselung des Monats Juni 2025 Patch Tuesday-Update
Der Juni 2025 Update kategorisiert 11 Schwachstellen als kritisch und 56 so wichtig. Zu den behobenen Problemen gehören:
- 26 Remotecodeausführung (RCE) Mängel
- 17 Fehler bei der Offenlegung von Informationen
- 14 Schwachstellen bei der Rechteausweitung
zusätzlich zu diesen, Microsoft hat das Problem gelöst 13 Sicherheitsprobleme in seinem Chromium-basierten Edge-Browser seit dem letzten Patch Tuesday.
Zero-Day-Ausnutzung: CVE-2025-33053 in WebDAV
Eine der größten Bedrohungen, die diesen Monat gepatcht wurden, ist ein Remote-Code-Execution-Fehler in WebDAV, verfolgt als CVE-2025-33053 mit einem CVSS-Score von 8.8. Der Fehler kann ausgenutzt werden, indem Benutzer dazu verleitet werden, auf eine speziell gestaltete URL zu klicken, die die Ausführung von Malware über einen Remote-Server auslöst.
Dieser Zero-Day, das erste jemals im WebDAV-Protokoll gemeldete, wurde von den Check Point-Forschern Alexandra Gofman und David Driker entdeckt. Laut Check Point, Der Fehler ermöglicht es Angreifern, das Arbeitsverzeichnis zu manipulieren, um Code aus der Ferne auszuführen.
Stealth Falcons gezielte Kampagne
Cybersicherheitsforscher haben die Ausnutzung von CVE-2025-33053 Stealth Falcon zugeschrieben, auch bekannt als FruityArmor, ein Bedrohungsakteur, bekannt für Ausnutzung von Windows Zero-Days. Bei einem kürzlichen Angriff auf einen türkischen Rüstungskonzern, Stealth Falcon hat eine bösartige Verknüpfungsdatei in einer Phishing-E-Mail bereitgestellt, die eine hochentwickelte Malware-Lieferkette ins Leben rief.
Der Angriff begann mit einem .url Datei, die den WebDAV-Fehler ausnutzt, um „iediagcmd.exe“ auszuführen, ein legitimes Internet Explorer-Diagnosetool. Dieses Tool wurde dann gestartet Horus Loader, die beim Laden ein Täuschungs-PDF-Dokument auslieferte Horus-Agent, ein benutzerdefiniertes Implantat, das mit dem Mythic Command-and-Control-Framework erstellt wurde.
Geschrieben in C++, Horus Agent ist eine Weiterentwicklung des vorherigen Implantats der Gruppe, *Apollo*, und beinhaltet Stealth-Erweiterungen wie String-Verschlüsselung und Kontrollfluss-Flattening. Es verbindet sich mit einem Remote-Server, um Befehle wie Systemaufzählung abzurufen, Dateizugriff, und Shellcode-Injektion.
Neue Tools im Arsenal der Bedrohungsakteure
Die Analyse von Check Point identifizierte auch bisher nicht dokumentierte Tools, die in der Kampagne verwendet wurden, Inklusive:
- Anmeldeinformations-Dumper, das Anmeldeinformationen von kompromittierten Domänencontrollern extrahiert
- Passive Hintertür, welches auf eingehende C2-Anfragen wartet und Shellcode ausführt
- Keylogger, Das speziell in C++ erstellte Programm zeichnet Tastatureingaben in einer temporären Datei auf, fehlende direkte C2-Fähigkeit
Diese Tools sind mit kommerzieller Verschleierungssoftware geschützt und angepasst, um Reverse Engineering zu verhindern.
CISA-Reaktion und Bedenken der Branche
Aufgrund der aktiven Ausnutzung von CVE-2025-33053, die US-. Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat es zu seinen bekannten ausgenutzten Schwachstellen hinzugefügt (KEV) Katalog, und fordert die Bundesbehörden auf, den Fehler bis Juli zu beheben 1, 2025.
Mike Walters, Präsident von Action1, betonte, dass der Fehler besonders gefährlich sei, da WebDAV in Unternehmensumgebungen weit verbreitet für den Dateiaustausch und die Zusammenarbeit genutzt wird., oft ohne ein vollständiges Verständnis der Sicherheitsimplikationen.
Andere schwerwiegende Sicherheitslücken
Zu den wichtigsten behobenen Problemen gehört ein Fehler bei der Rechteausweitung in Microsoft Power Automate. (CVE-2025-47966), die erzielte 9.8 auf der Skala CVSS-. Microsoft hat bestätigt, dass für diesen Patch keine Benutzeraktion erforderlich ist.
Weitere wichtige Schwachstellen sind:
- CVE-2025-32713 – Rechteerweiterung im Common Log File System Driver
- CVE-2025-33070 – Rechteausweitung in Windows Netlogon
- CVE-2025-33073 – Eine öffentlich bekannte Sicherheitslücke im Windows SMB-Client, Wie die Forscher herausfanden, handelt es sich dabei tatsächlich um einen authentifizierten RCE über einen reflektierenden Kerberos-Relay-Angriff.
Der Sicherheitsforscher Ben McCarthy stellte fest, dass es sich bei der CLFS-Sicherheitslücke um einen Heap-Überlauf mit geringer Komplexität handelt, der in den letzten Monaten die Aufmerksamkeit von Ransomware-Akteuren auf sich gezogen hat..
Mittlerweile, CVE-2025-33073, von mehreren Forschungsteams berichtet, darunter Google Project Zero und Synacktiv, ermöglicht Angreifern die Ausführung von Befehlen auf SYSTEM-Ebene durch Ausnutzung falsch konfigurierter SMB-Signaturen.
KDC-Proxy-Fehler und Secure Boot-Umgehungen
CVE-2025-33071, eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Windows KDC-Proxy, beinhaltet einen kryptografischen Race Condition. Laut Adam Barnett von Rapid7, Aufgrund der Art der KDC-Proxy-Exposition in Unternehmensnetzwerken ist es wahrscheinlich, dass es in realen Szenarien ausgenutzt werden kann.
Zusätzlich, Microsoft hat eine Sicherheitslücke beim Secure Boot Bypass gepatcht (CVE-2025-3052), entdeckt von Binarly. Das Problem betrifft UEFI-Anwendungen, die mit dem UEFI-Zertifikat eines Drittanbieters von Microsoft signiert sind, und ermöglicht die Ausführung von Schadcode, bevor das Betriebssystem geladen wird..
CERT/CC erklärte, dass die Ursache darin liege, wie die UEFI-Apps von DT Research mit NVRAM-Variablen umgehen.. Unzureichende Zugriffskontrolle ermöglicht es einem Angreifer, kritische Firmware-Strukturen zu verändern, Ermöglichung von Persistenz und Systemkompromittierung auf Firmware-Ebene.
Hydrophobie: Ein weiterer Secure Boot Bypass, der von Microsoft nicht gepatcht wurde
Obwohl Microsoft nicht direkt betroffen ist, ein weiterer Secure Boot-Bypass (CVE-2025-4275), genannt Hydroph0bia, wurde auch bekannt gegeben. Diese Sicherheitslücke entsteht durch die unsichere Verwendung einer ungeschützten NVRAM-Variable in der InsydeH2O-Firmware, Angreifer können ihre eigenen vertrauenswürdigen digitalen Zertifikate einschleusen und während des frühen Bootvorgangs beliebige Firmware ausführen.
Unnötig zu sagen, Organisationen werden dringend gebeten, die neu gepatchten Schwachstellen zu priorisieren, insbesondere solche, die aktiv ausgenutzt werden, wie CVE-2025-33053.