Microsoft heeft een ingrijpende beveiligingsupdate uitgebracht die het probleem aanpakt 67 kwetsbaarheden in het software-ecosysteem. Dit omvat een kritische zero-day kwetsbaarheid in webgedistribueerd schrijven en versiebeheer (WebDAV) die momenteel wordt uitgebuit bij aanvallen in de echte wereld.
Overzicht van juni 2025 Patch Tuesday-update
De juni 2025 update categoriseert 11 kwetsbaarheden als kritiek en 56 net zo belangrijk. Tot de opgeloste problemen behoren::
- 26 Uitvoering van externe code (RCE) gebreken
- 17 Bugs in de openbaarmaking van informatie
- 14 Privilege Escalation-kwetsbaarheden
Naast deze, Microsoft heeft het probleem opgelost 13 beveiligingsproblemen in de op Chromium gebaseerde Edge-browser sinds de laatste Patch Tuesday.
Zero-Day Exploitatie: CVE-2025-33053 in WebDAV
Een van de belangrijkste bedreigingen die deze maand is gepatcht, is een fout in WebDAV die code op afstand kan uitvoeren, gevolgd als CVE-2025-33053 met een CVSS-score van 8.8. Het lek kan worden uitgebuit door gebruikers ertoe te verleiden op een speciaal geconstrueerde URL te klikken, die de uitvoering van malware via een externe server activeert.
Deze zero-day, de eerste ooit gerapporteerd in het WebDAV-protocol, werd ontdekt door Check Point-onderzoekers Alexandra Gofman en David Driker. Volgens Check Point, het lek stelt aanvallers in staat de werkdirectory te manipuleren om code op afstand uit te voeren.
De gerichte campagne van Stealth Falcon
Cybersecurity-onderzoekers hebben de exploitatie van CVE-2025-33053 toegeschreven aan Stealth Falcon, ook bekend als FruityArmor, een dreigingsactor die bekend staat om het benutten van Windows zero-days. Bij een recente aanval op een Turkse defensie-aannemer, Stealth Falcon heeft een kwaadaardig snelkoppelingsbestand in een phishing-e-mail geplaatst, die een geavanceerde malware-distributieketen lanceerde.
De aanval begon met een .url bestand dat misbruik maakt van de WebDAV-fout om `iediagcmd.exe` uit te voeren, een legitieme diagnostische tool voor Internet Explorer. Deze tool werd vervolgens gelanceerd Horus-lader, die een lok-PDF-document serveerde tijdens het laden Horus Agent, een op maat gemaakt implantaat gebouwd met behulp van het Mythic command-and-control-framework.
Geschreven in C++, Horus Agent is een evolutie van het vorige implantaat van de groep, *Apollo*, en omvat stealth-verbeteringen zoals string-encryptie en afvlakking van de controlestroom. Het maakt verbinding met een externe server om opdrachten op te halen, zoals systeemopsomming, bestandstoegang, en shellcode-injectie.
Nieuwe hulpmiddelen in het arsenaal van de dreigingsacteur
Uit de analyse van Check Point bleek ook dat er in de campagne eerder niet-gedocumenteerde instrumenten werden gebruikt, Inclusief:
- Credential Dumper, die inloggegevens extraheert van gecompromitteerde domeincontrollers
- Passieve achterdeur, die luistert naar binnenkomende C2-verzoeken en shellcode uitvoert
- Keylogger, die speciaal in C++ is gebouwd om toetsaanslagen in een tijdelijk bestand op te slaan, zonder directe C2-capaciteit
Deze tools zijn beveiligd met commerciële verduisteringssoftware en aangepast om reverse engineering te voorkomen.
Reactie van CISA en zorgen van de industrie
Vanwege de actieve exploitatie van CVE-2025-33053, de U.S. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) heeft het toegevoegd aan zijn lijst met bekende misbruikte kwetsbaarheden (KEV) catalogus, waarin wordt bepaald dat federale agentschappen het lek vóór juli moeten repareren 1, 2025.
Mike Walters, Voorzitter van Action1, benadrukte dat het lek bijzonder gevaarlijk is vanwege het wijdverbreide gebruik van WebDAV in bedrijfsomgevingen voor het delen van bestanden en samenwerking, vaak zonder volledig begrip van de veiligheidsimplicaties.
Andere kwetsbaarheden met grote impact
Een van de meest kritieke problemen die is opgelost, is een fout met betrekking tot privilege-escalatie in Microsoft Power Automate (CVE-2025-47966), die scoorde 9.8 op de schaal CVSS. Microsoft heeft bevestigd dat er voor deze patch geen actie van de gebruiker nodig is.
Andere opvallende kwetsbaarheden zijn onder meer::
- CVE-2025-32713 – Verhoging van bevoegdheden in Common Log File System Driver
- CVE-2025-33070 – Privilege-escalatie in Windows Netlogon
- CVE-2025-33073 – Een publiekelijk bekende kwetsbaarheid in Windows SMB Client, waarvan onderzoekers onthulden dat het in feite een geauthenticeerde RCE is via een reflectieve Kerberos-relay-aanval
Beveiligingsonderzoeker Ben McCarthy merkte op dat de CLFS-kwetsbaarheid een heap-overflow met een lage complexiteit is die de afgelopen maanden de aandacht heeft getrokken van ransomware-actoren.
Ondertussen, CVE-2025-33073, gerapporteerd door meerdere onderzoeksteams, waaronder Google Project Zero en Synacktiv, stelt aanvallers in staat om opdrachten op SYSTEM-niveau uit te voeren door misbruik te maken van onjuist geconfigureerde SMB-ondertekening.
KDC-proxyfout en beveiligde opstartbypasses
CVE-2025-33071, een kwetsbaarheid voor het op afstand uitvoeren van code in Windows KDC Proxy, omvat een cryptografische raceconditie. Volgens Adam Barnett van Rapid7, Het is waarschijnlijk dat het in realistische scenario's kan worden uitgebuit vanwege de aard van de blootstelling van KDC-proxy's in bedrijfsnetwerken..
Bovendien, Microsoft heeft een kwetsbaarheid in het omzeilen van Secure Boot gepatcht (CVE-2025-3052), ontdekt door Binarly. Het probleem heeft betrekking op UEFI-toepassingen die zijn ondertekend met het UEFI-certificaat van derden van Microsoft en maakt het mogelijk dat schadelijke code wordt uitgevoerd voordat het besturingssysteem wordt geladen..
CERT/CC legde uit dat de hoofdoorzaak ligt in de manier waarop de UEFI-apps van DT Research omgaan met NVRAM-variabelen. Onjuiste toegangscontrole stelt een aanvaller in staat om kritieke firmwarestructuren te wijzigen, het mogelijk maken van persistentie en systeemcompromittering op firmwareniveau.
Hydrofobie: Nog een Secure Boot Bypass die niet gepatcht is door Microsoft
Hoewel het Microsoft niet rechtstreeks beïnvloedt, een andere Secure Boot-bypass (CVE-2025-4275), genaamd Hydroph0bia, werd ook bekendgemaakt. Deze kwetsbaarheid is het gevolg van onveilig gebruik van een onbeschermde NVRAM-variabele in de InsydeH2O-firmware, waardoor aanvallers hun eigen vertrouwde digitale certificaten kunnen injecteren en willekeurige firmware kunnen uitvoeren tijdens de vroege opstartfase.
Vanzelfsprekend, Organisaties worden aangespoord om prioriteit te geven aan de nieuw gepatchte kwetsbaarheden, vooral die welke actief worden geëxploiteerd, zoals CVE-2025-33053.