Windows enthält eine kritische Zero-Day-Schwachstelle in der Art und Weise, wie bestimmte signierte Binärdateien den Parameter „WorkingDirectory“ verarbeiten, wenn sie über .url-Verknüpfungsdateien gestartet werden. Insbesondere erlaubt Windows es Verknüpfungsdateien, ein Arbeitsverzeichnis festzulegen, das auf einen von einem Angreifer kontrollierten WebDAV-Server verweist, auf dem bösartige ausführbare Dateien mit demselben Namen wie legitime Windows-Dienstprogramme gehostet werden können.

Diese Designschwäche ermöglicht es Angreifern, legitime Windows-Prozesse dazu zu bringen, entfernten und bösartigen Code zu laden und auszuführen, ohne etwas auf die Festplatte zu schreiben. Dies führt zu einer unbemerkten Remote Code Execution (RCE), die keine Benutzerauthentifizierung erfordert.

Datum

16.06.2025 16:44:05

Technische Zusammenfassung

Anfällige Komponente: Die Schwachstelle liegt im Windows WebDAV-Client-Dienst in Kombination mit der Art und Weise, wie signierte Windows-Binärdateien (wie iediagcmd.exe, ein Diagnose-Tool) ihre Abhängigkeiten über das Feld „WorkingDirectory“ in .url-Dateien auflösen.

Angriffsvektor: Ein Angreifer erstellt eine .url-Datei, die:

• Einen gültigen Pfad zu einer legitimen Binärdatei im URL-Feld verwendet (z. B. Verweis auf iediagcmd.exe)
• Das Feld „WorkingDirectory“ auf eine entfernte WebDAV-Freigabe unter der Kontrolle des Angreifers setzt

Wenn der Benutzer diese Verknüpfung öffnet, startet Windows die vertrauenswürdige Binärdatei, sucht jedoch nach Abhängigkeiten wie route.exe im angegebenen WebDAV-Ordner. Wenn der Angreifer eine bösartige Version von route.exe in diesem Verzeichnis hostet, wird diese anstelle der Systemdatei geladen und ausgeführt.

Signierte Binärdatei + bösartiges Arbeitsverzeichnis = RCE: Diese Kombination aus vertrauenswürdiger Codeausführung mit einer vom Angreifer kontrollierten Pfadauflösung stellt einen mächtigen RCE-Vektor dar. Die bösartige ausführbare Datei erbt die Berechtigungen der gestarteten signierten Binärdatei, was häufig zur vollständigen Kompromittierung der Benutzerebene führt.

Nicht authentifizierter Angriff: Es ist keine vorherige Authentifizierung erforderlich. Ein Angreifer kann die Verknüpfung über Spear-Phishing-E-Mails oder kompromittierte Web-Downloads verbreiten. Sobald sie geöffnet wird, wird die Nutzlast sofort über das Netzwerk via WebDAV ausgeführt, ohne Spuren auf der Festplatte zu hinterlassen, was die Erkennung äußerst schwierig macht.

Ausnutzung „in-the-wild“: Sicherheitsforscher und Microsoft haben bestätigt, dass APT-Gruppen (insbesondere Stealth Falcon/FruityArmor) diese Schwachstelle bereits seit März 2025 aktiv ausnutzen. Die Angreifer nutzten diesen Vektor, um HorusLoader zu verbreiten, der verschlüsselte Implantate (Horus Agent) für Spionageoperationen herunterlud, einschließlich Keylogging, Credential Dumping und Datenexfiltration.

Empfehlungen

1. Installation der Patches vom Juni 2025: Microsoft hat CVE-2025-33053 am 11. Juni 2025 im Rahmen des Patch Tuesday behoben. Wenden Sie die Updates auf alle betroffenen Systeme an, einschließlich Legacy-Systemen (z. B. Windows Server 2012), da die Schwachstelle aktiv ausgenutzt wird.

2. Deaktivierung von WebDAV, falls nicht verwendet: Erwägen Sie die Deaktivierung des WebDAV-Clients über die Windows-Funktionen oder Gruppenrichtlinien, falls dieser nicht benötigt wird. Dies unterbricht die Angriffskette vollständig.

3. Einschränkung des Internetzugriffs für die Ausführung von .url-Dateien: Blockieren oder beschränken Sie die Ausführung von .url-Dateien, die aus nicht vertrauenswürdigen Quellen stammen, insbesondere wenn sie auf externe Arbeitsverzeichnisse verweisen. Überwachen Sie außerdem .url-Dateien, die auf WebDAV-URLs verweisen (z. B. \\attacker.com\webdav\).

4. Stärkung der Nutzung von LOLBins: Verhindern oder überwachen Sie die Verwendung von risikoreichen signierten Windows-Binärdateien (z. B. iediagcmd.exe, mshta.exe, wscript.exe) mittels AppLocker oder Defender Attack Surface Reduction (ASR)-Regeln, da diese häufig bei „Living-off-the-Land“-Angriffen verwendet werden.

[Callforaction-THREAT-Footer]