Microsoft ha rilasciato un aggiornamento di sicurezza completo che affronta 67 vulnerabilità nel suo ecosistema software. Ciò include un aspetto critico vulnerabilità zero-day nella creazione e nel controllo delle versioni distribuite sul Web (WebDAV) che viene attualmente sfruttato in attacchi nel mondo reale.
Ripartizione di giugno 2025 Aggiornamento del Patch Tuesday
Il giugno 2025 aggiorna categorizza 11 vulnerabilità come Critiche e 56 come importante. Tra i problemi risolti ci sono:
- 26 L'esecuzione di codice remoto (RCE) difetti
- 17 Bug di divulgazione delle informazioni
- 14 Vulnerabilità di escalation dei privilegi
Oltre a questi, Microsoft ha risolto 13 problemi di sicurezza nel browser Edge basato su Chromium dall'ultimo Patch Tuesday.
Sfruttamento del giorno zero: CVE-2025-33053 in WebDAV
Una delle minacce più significative risolte questo mese è un difetto di esecuzione di codice remoto in WebDAV, tracciato come CVE-2025-33053 con un punteggio CVSS di 8.8. Il difetto può essere sfruttato inducendo gli utenti a cliccare su un URL creato appositamente, che innesca l'esecuzione di malware tramite un server remoto.
Questo giorno zero, il primo mai segnalato nel protocollo WebDAV, è stato scoperto dai ricercatori di Check Point Alexandra Gofman e David Driker. Secondo Check Point, la falla consente agli aggressori di manipolare la directory di lavoro per eseguire codice in remoto.
La campagna mirata di Stealth Falcon
I ricercatori di sicurezza informatica hanno attribuito lo sfruttamento di CVE-2025-33053 a Stealth Falcon, noto anche come FruityArmor, un attore minaccioso noto per sfruttando gli zero-day di Windows. In un recente attacco contro un appaltatore della difesa turco, Stealth Falcon ha distribuito un file di collegamento dannoso in un'e-mail di phishing, che ha lanciato una sofisticata catena di distribuzione di malware.
L'attacco è iniziato con un .url file che sfrutta la falla WebDAV per eseguire `iediagcmd.exe`, uno strumento diagnostico legittimo di Internet Explorer. Questo strumento è stato quindi lanciato Caricatore Horus, che ha servito un documento PDF esca durante il caricamento Agente Horus, un impianto personalizzato costruito utilizzando il framework di comando e controllo Mythic.
Scritto in C++, L'agente Horus è un'evoluzione del precedente impianto del gruppo, *Apollo*, e incorpora miglioramenti stealth come la crittografia delle stringhe e l'appiattimento del flusso di controllo. Si connette a un server remoto per recuperare comandi come l'enumerazione del sistema, accesso ai file, e iniezione di shellcode.
Nuovi strumenti nell'arsenale dell'attore della minaccia
L'analisi di Check Point ha inoltre individuato strumenti precedentemente non documentati utilizzati nella campagna, Compreso:
- Dumper di credenziali, che estrae le credenziali dai controller di dominio compromessi
- Backdoor passivo, che ascolta le richieste C2 in arrivo ed esegue lo shellcode
- Keylogger, che è stato creato appositamente in C++ per registrare le sequenze di tasti in un file temporaneo, mancanza di capacità C2 diretta
Questi strumenti sono protetti con software di offuscamento commerciale e personalizzati per evitare il reverse engineering.
Risposta della CISA e preoccupazioni del settore
A causa dello sfruttamento attivo di CVE-2025-33053, gli Stati Uniti. Agenzia per la sicurezza informatica e delle infrastrutture (CISA) l'ha aggiunto alle sue vulnerabilità note sfruttate (KEV) catalogare, imponendo alle agenzie federali di correggere il difetto entro luglio 1, 2025.
Mike Walters, Presidente di Action1, ha sottolineato che la falla è particolarmente pericolosa a causa dell'uso diffuso di WebDAV negli ambienti aziendali per la condivisione di file e la collaborazione, spesso senza una piena comprensione delle implicazioni per la sicurezza.
Altre vulnerabilità ad alto impatto
Tra i problemi più critici risolti c'è un difetto di escalation dei privilegi in Microsoft Power Automate (CVE-2025-47966), che ha segnato 9.8 sulla scala CVSS. Microsoft ha confermato che non è richiesta alcuna azione da parte dell'utente per questa patch.
Altre vulnerabilità degne di nota includono:
- CVE-2025-32713 – Elevazione dei privilegi nel driver Common Log File System
- CVE-2025-33070 – Escalazione dei privilegi in Windows Netlogon
- CVE-2025-33073 – Una vulnerabilità pubblicamente nota nel client SMB di Windows, che i ricercatori hanno rivelato essere in realtà un RCE autenticato tramite un attacco relay Kerberos riflettente
Il ricercatore di sicurezza Ben McCarthy ha osservato che la vulnerabilità CLFS è un overflow di heap a bassa complessità che ha attirato l'attenzione degli attori del ransomware negli ultimi mesi.
Nel frattempo, CVE-2025-33073, segnalato da più team di ricerca tra cui Google Project Zero e Synacktiv, consente agli aggressori di ottenere l'esecuzione di comandi a livello di SISTEMA sfruttando la firma SMB configurata in modo improprio.
Difetto del proxy KDC e bypass dell'avvio sicuro
CVE-2025-33071, una vulnerabilità di esecuzione di codice remoto nel proxy KDC di Windows, comporta una condizione di gara crittografica. Secondo Adam Barnett di Rapid7, è probabile che sia sfruttabile in scenari reali a causa della natura dell'esposizione del proxy KDC nelle reti aziendali.
Inoltre, Microsoft ha corretto una vulnerabilità di bypass di Secure Boot (CVE-2025-3052), scoperto da Binarly. Il problema riguarda le applicazioni UEFI firmate con il certificato UEFI di terze parti di Microsoft e consente l'esecuzione di codice dannoso prima del caricamento del sistema operativo.
Il CERT/CC ha spiegato che la causa principale risiede nel modo in cui le app UEFI di DT Research gestiscono le variabili NVRAM. Un controllo di accesso improprio consente a un aggressore di modificare le strutture critiche del firmware, abilitazione della persistenza e della compromissione del sistema a livello di firmware.
Idrofobia: Un altro bypass di avvio sicuro lasciato senza patch da Microsoft
Sebbene non influisca direttamente su Microsoft, un altro bypass di Secure Boot (CVE-2025-4275), soprannominato Hydroph0bia, è stato anche divulgato. Questa vulnerabilità deriva dall'uso non sicuro di una variabile NVRAM non protetta nel firmware InsydeH2O, consentendo agli aggressori di iniettare i propri certificati digitali attendibili ed eseguire firmware arbitrari durante l'avvio anticipato.
Inutile dire, le organizzazioni sono invitate a dare priorità alle vulnerabilità appena corrette, in particolare quelli sottoposti a sfruttamento attivo come CVE-2025-33053.