A Microsoft lançou uma atualização de segurança abrangente abordando 67 vulnerabilidades em seu ecossistema de software. Isso inclui uma crítica vulnerabilidade zero-day em Criação e Controle de Versão Distribuídos na Web (WebDAV) que atualmente está sendo explorado em ataques do mundo real.
Análise de junho 2025 Atualização do Patch Tuesday
Junho 2025 atualizar categoriza 11 vulnerabilidades como Críticas e 56 tão importante. Entre os problemas corrigidos estão:
- 26 Execução Remota de Código (RCE) falhas
- 17 Erros de divulgação de informações
- 14 Vulnerabilidades de escalonamento de privilégios
Em adição a isto, A Microsoft resolveu 13 problemas de segurança em seu navegador Edge baseado em Chromium desde o último Patch Tuesday.
Exploração de Dia Zero: CVE-2025-33053 no WebDAV
Uma das ameaças mais significativas corrigidas este mês é uma falha de execução remota de código no WebDAV, rastreado como CVE-2025-33053 com uma pontuação CVSS de 8.8. A falha pode ser explorada enganando os usuários para que cliquem em um URL especialmente criado, que aciona a execução de malware por meio de um servidor remoto.
Este dia zero, o primeiro já relatado no protocolo WebDAV, foi descoberto pelos pesquisadores da Check Point Alexandra Gofman e David Driker. De acordo com o Check Point, a falha permite que os invasores manipulem o diretório de trabalho para executar código remotamente.
Campanha direcionada do Stealth Falcon
Pesquisadores de segurança cibernética atribuíram a exploração do CVE-2025-33053 ao Stealth Falcon, também conhecido como FruityArmor, um ator de ameaças conhecido por aproveitando o dia zero do Windows. Num ataque recente dirigido a um contratante de defesa turco, O Stealth Falcon implantou um arquivo de atalho malicioso em um e-mail de phishing, que lançou uma sofisticada cadeia de distribuição de malware.
O ataque começou com um .url arquivo explorando a falha do WebDAV para executar `iediagcmd.exe`, uma ferramenta legítima de diagnóstico do Internet Explorer. Esta ferramenta foi então lançada Carregador Horus, que serviu como um documento PDF chamariz durante o carregamento Agente Horus, um implante personalizado construído usando a estrutura de comando e controle Mythic.
Escrito em C++, Agente Horus é uma evolução do implante anterior do grupo, *Apolo*, e incorpora melhorias de stealth, como criptografia de strings e achatamento de fluxo de controle. Ele se conecta a um servidor remoto para buscar comandos como enumeração do sistema, acesso a arquivos, e injeção de shellcode.
Novas ferramentas no arsenal do ator de ameaças
A análise da Check Point também identificou ferramentas não documentadas usadas anteriormente na campanha, Incluindo:
- Dumper de Credenciais, que extrai credenciais de controladores de domínio comprometidos
- Backdoor passivo, que escuta as solicitações C2 recebidas e executa o shellcode
- Keylogger, que é feito sob medida em C++ para registrar pressionamentos de tecla em um arquivo temporário, falta de capacidade C2 direta
Essas ferramentas são protegidas com software de ofuscação comercial e personalizadas para evitar engenharia reversa.
Resposta da CISA e preocupações da indústria
Devido à exploração ativa do CVE-2025-33053, os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou-o às suas Vulnerabilidades Exploradas Conhecidas (KEV) Catálogo, exigindo que as agências federais corrijam a falha até julho 1, 2025.
Mike Walters, Presidente da Action1, enfatizou que a falha é particularmente perigosa devido ao uso generalizado do WebDAV em ambientes corporativos para compartilhamento de arquivos e colaboração, muitas vezes sem uma compreensão completa das implicações de segurança.
Outras vulnerabilidades de alto impacto
Entre os problemas mais críticos resolvidos está uma falha de escalonamento de privilégios no Microsoft Power Automate (CVE-2025-47966), que marcou 9.8 na escala CVSS. A Microsoft confirmou que nenhuma ação do usuário é necessária para este patch.
Outras vulnerabilidades notáveis incluem:
- CVE-2025-32713 – Elevação de privilégio no driver do sistema de arquivos de log comum
- CVE-2025-33070 – Escalonamento de privilégios no Windows Netlogon
- CVE-2025-33073 – Uma vulnerabilidade publicamente conhecida no Windows SMB Client, que os pesquisadores revelaram ser na verdade um RCE autenticado por meio de um ataque de retransmissão Kerberos reflexivo
O pesquisador de segurança Ben McCarthy observou que a vulnerabilidade CLFS é um estouro de heap de baixa complexidade que atraiu a atenção de agentes de ransomware nos últimos meses.
enquanto isso, CVE-2025-33073, relatado por várias equipes de pesquisa, incluindo o Google Project Zero e o Synacktiv, permite que invasores alcancem a execução de comandos em nível de SISTEMA explorando a assinatura SMB configurada incorretamente.
Falha de proxy KDC e desvios de inicialização segura
CVE-2025-33071, uma vulnerabilidade de execução remota de código no Windows KDC Proxy, envolve uma condição de corrida criptográfica. De acordo com Adam Barnett da Rapid7, é provável que seja explorável em cenários do mundo real devido à natureza da exposição do proxy KDC em redes corporativas.
Além disso, A Microsoft corrigiu uma vulnerabilidade de bypass de inicialização segura (CVE-2025-3052), descoberto por Binarly. O problema afeta aplicativos UEFI assinados com o certificado UEFI de terceiros da Microsoft e permite que códigos maliciosos sejam executados antes do carregamento do sistema operacional.
O CERT/CC explicou que a causa raiz está na forma como os aplicativos UEFI da DT Research manipulam as variáveis NVRAM. O controle de acesso inadequado permite que um invasor modifique estruturas críticas de firmware, permitindo persistência e comprometimento do sistema no nível do firmware.
Hidrofobia: Outro desvio de inicialização segura não corrigido pela Microsoft
Embora não afete diretamente a Microsoft, outro desvio de inicialização segura (CVE-2025-4275), apelidado de Hydroph0bia, também foi divulgado. Esta vulnerabilidade decorre do uso inseguro de uma variável NVRAM desprotegida no firmware InsydeH2O, permitindo que invasores injetem seus próprios certificados digitais confiáveis e executem firmware arbitrário durante a inicialização inicial.
Escusado será dizer, as organizações são incentivadas a priorizar as vulnerabilidades recentemente corrigidas, especialmente aqueles sob exploração ativa como CVE-2025-33053.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: