Microsoft Patches 67 Vulnerabilidades, incluido el día cero de WebDav, explotado en la naturaleza

Microsoft ha lanzado parches para arreglar 67 fallas de seguridadincluido un error de día cero en autorización y versiones distribuidas en la web (WebDAV) que, según dijo, ha sido de explotación activa en la naturaleza.

De las 67 vulnerabilidades, 11 tienen una calificación crítica y 56 tienen una calificación importante en la gravedad. Esto incluye 26 defectos de ejecución de código remoto, 17 defectos de divulgación de información y 14 defectos de escalada de privilegios.

Los parches son adicionales a 13 deficiencias dirigido por la compañía en su navegador de borde basado en Chromium desde el lanzamiento del mes pasado Actualización del martes de parche.

La vulnerabilidad que se ha armado en ataques del mundo real se refiere a una ejecución de código remoto en WebDav (CVE-2025-33053Puntuación CVSS: 8.8) que puede activarse engañando a los usuarios para que haga clic en una URL especialmente elaborada.

El gigante tecnológico acreditó a los investigadores de Check Point Alexandra Gofman y David Driker por descubrir e informar el error. Vale la pena mencionar que CVE-2025-33053 es la primera vulnerabilidad del día cero que se revela en el estándar WebDav.

En un informe separado, la compañía de ciberseguridad atribuyó el abuso de CVE-2025-33053 a un actor de amenaza conocido como Falcón de sigilo (también conocido como Fruityarmor), que tiene un historial de aprovechar los días cero de Windows en sus ataques. En septiembre de 2023, se observó el grupo de piratería utilizando una puerta trasera denominada Deadglyph como parte de una campaña de espionaje dirigida a entidades en Qatar y Arabia Saudita.

«El ataque usó un archivo .URL que explotó una vulnerabilidad de día cero (CVE-2025-33053) para ejecutar malware de un servidor webdav controlado por el actor,» Punto de verificación dicho. «CVE-2025-33053 permite la ejecución del código remoto mediante la manipulación del directorio de trabajo».

En la cadena de ataque observada contra una compañía de defensa no identificada en Turquía, se dice que el actor de amenaza empleó a CVE-2025-33053 para entregar Horus Agent, un implante personalizado construido para el marco mítico de comando y control (C2). Se cree que la carga útil maliciosa utilizada para iniciar el ataque, un archivo de acceso directo de URL, se envió como un archivo adjunto archivado en un correo electrónico de phishing.

El archivo de URL se utiliza para iniciar iediagcmd.exe, una utilidad de diagnóstico legítimo para Internet Explorer, aprovechándola para lanzar otra carga útil llamada Horus Loader, que es responsable de servir a un documento PDF decoy y ejecutar Horus Agent.

«Escrito en C ++, el implante no muestra una superposición significativa con agentes míticos basados ​​en C conocidos, aparte de los puntos en común en la lógica genérica relacionada con las comunicaciones míticas C2», dijo Check Point. «Si bien el cargador se asegura de implementar algunas medidas para proteger la carga útil, los actores de amenaza colocaron precauciones adicionales dentro de la puerta trasera».

Esto incluye el uso de técnicas como el cifrado de cadenas y el aplanamiento del flujo de control para complicar los esfuerzos de análisis. La puerta trasera luego se conecta a un servidor remoto para obtener tareas que le permitan recopilar información del sistema, enumerar archivos y carpetas, descargar archivos desde el servidor, inyectar Shellcode en procesos en ejecución y salir del programa.

CVE-2025-33053 cadena de infección

Se evalúa que Horus Agent es una evolución del implante Apolo personalizado, un agente .NET de código abierto para el marco mítico, que previamente fue utilizado por Stealth Falcon entre 2022 y 2023.

«Horus es una versión más avanzada del implante Apolo personalizado de los grupos de amenazas, reescritos en C ++, mejorado y refactorizado», dijo Check Point.

«Similar a la versión de Horus, la versión de Apollo presenta extensas capacidades de huellas digitales de víctimas al tiempo que limita el número de comandos compatibles. Esto permite a los actores de amenaza centrarse en la identificación sigilosa de la máquina infectada y la entrega de carga útil de la próxima etapa, al tiempo que mantiene el tamaño del implante significativamente más pequeño (solo 120 kb) que el agente completo».

La compañía dijo que también observó que el actor de amenazas aprovechó varias herramientas previamente indocumentadas, como las siguientes.

• Credencial Dumper, que se dirige a un controlador de dominio ya competido para robar archivos relacionados con Active Directory y Controlador de dominio Credencial
• Backdoor pasivo, que escucha las solicitudes entrantes y ejecuta las cargas útiles de ShellCode
• Keylogger, una herramienta C ++ personalizada que registra todas las teclas de teclas y las escribe en un archivo en «C: /windows/temp/~tn%Logname%.TMP»

El Keylogger carece notablemente de cualquier mecanismo C2, lo que significa que probablemente funciona junto con otro componente que puede exfiltrar el archivo a los atacantes.

«Stealth Falcon emplea herramientas de protección y ofuscación de código comercial, así como versiones modificadas personalizadas adaptadas para diferentes tipos de carga útil», dijo el punto de control. «Esto hace que sus herramientas sean más difíciles de invertir en ingeniería y complica el seguimiento de los cambios técnicos con el tiempo».

La explotación activa de CVE-2025-33053 ha llevado a la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. agregar a las vulnerabilidades explotadas conocidas (Transmitir) Catálogo, que requiere agencias de rama ejecutiva civil federal (FCEB) que apliquen la solución antes del 1 de julio de 2025.

«Lo que hace que este defecto sea particularmente preocupante es el uso generalizado de WebDav en entornos empresariales para compartir archivos remotos y colaboración», Mike Walters, presidente y cofundador de Action1, dicho. «Muchas organizaciones permiten WebDAV para necesidades comerciales legítimas, a menudo sin comprender completamente los riesgos de seguridad que introduce».

La vulnerabilidad más severa resuelta por Microsoft es una falla de escalada de privilegios en la automatización de potencia (CVE-2025-47966Puntaje CVSS: 9.8) que podría permitir que un atacante elevara los privilegios sobre una red. Sin embargo, no se requiere acción del cliente para mitigar el error.

Otras vulnerabilidades notables incluyen la elevación de fallas de privilegios en el controlador del sistema de archivos de registro común (CVE-2025-32713Puntaje CVSS: 7.8), Windows NetLogon (CVE-2025-33070Puntaje CVSS: 8.1) y Windows SMB Client (CVE-2025-33073Puntaje CVSS: 8.8), así como una vulnerabilidad de RCE no autenticada crítica en el servicio de proxy de Windows KDC (CVE-2025-33071Puntaje CVSS: 8.1).

«En los últimos meses, el controlador de CLFS se ha convertido en un coherente enfocar Tanto para los actores de amenaza como para los investigadores de seguridad debido a su explotación en múltiples operaciones de ransomware «, dijo Ben McCarthy, ingeniero de seguridad cibernética principal de Immersive.

«Se clasifica como un desbordamiento del búfer basado en el montón: un tipo de vulnerabilidad de corrupción de memoria. La complejidad del ataque se considera baja, y la explotación exitosa permite que un atacante intensifique los privilegios».

Adam Barnett, ingeniero de software principal de Rapid7, dijo que la explotación de CVE-2025-33071 requiere que el atacante explote una falla criptográfica y gane una condición de carrera.

«La mala noticia es que Microsoft considera que la explotación es más probable que sea más probable, y dado que un proxy de KDC ayuda a las solicitudes de Kerberos de las redes no confiables para acceder más fácilmente a los activos confiables sin necesidad de una conexión TCP directa desde el cliente al controlador de dominio, la compensación aquí es que el proxy KDC en sí mismo es probable que sea expuesto a una red no sólida», agregó Barnett.

Por último, pero no menos importante, Microsoft también ha lanzado parches para remediar un error de bypass de arranque seguro (CVE-2025-3052Puntaje CVSS: 6.7) descubierto por Binarly que permite la ejecución de software no confiable.

«Existe una vulnerabilidad en una aplicación UEFI firmada con un certificado UEFI de terceros de Microsoft, que permite que un atacante omite el arranque UEFI Secure», dijo Redmond en una alerta. «Un atacante que explotó con éxito esta vulnerabilidad podría evitar el arranque seguro».

CERT Coordination Center (CERT/CC), en un aviso publicado el martes, dijo que la vulnerabilidad está enraizada en aplicaciones unificadas de interfaz de firmware extensible (UEFI) DTBIOS y Biosflashshell de DT Research, lo que permite el bypass de arranque seguro utilizando una variable NVRAM especialmente elaborada.

«La vulnerabilidad proviene del manejo inadecuado de una variable NVRAM de tiempo de ejecución que permite una escritura arbitraria primitiva, capaz de modificar estructuras críticas de firmware, incluido el protocolo de arquitectura de seguridad Global2 utilizado para la verificación segura de arranque», CERT/CC dicho.

«Debido a que las aplicaciones afectadas están firmadas por la Autoridad de Certificado de Microsoft UEFI, esta vulnerabilidad puede explotarse en cualquier sistema compatible con la UEFI, lo que permite que el código sin firmar se ejecute durante el proceso de arranque».

La explotación exitosa de la vulnerabilidad podría permitir la ejecución de código no firmado o malicioso incluso antes de que se cargue el sistema operativo, lo que podría permitir a los atacantes lanzar malware persistente que puede sobrevivir a los reinicios e incluso deshabilitar el software de seguridad.

Microsoft, sin embargo, no se ve afectado por CVE-2025-4275 (también conocido como Hidrof0bia), Otra vulnerabilidad segura de bypass de arranque presente en una aplicación UEFI InsyDEH2O que permite la inyección de certificado digital a través de una variable NVRAM desprotegida («SecureflashCertData»), lo que resulta en la ejecución de código arbitrario a nivel de firmware.

«Este problema surge del uso inseguro de una variable NVRAM, que se utiliza como almacenamiento de confianza para un certificado digital en la cadena de validación de confianza», CERT/CC dicho. «Un atacante puede almacenar su propio certificado en esta variable y posteriormente ejecutar un firmware arbitrario (firmado por el certificado inyectado) durante el proceso de arranque temprano dentro del entorno UEFI».

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, incluidas, incluidas

• Adobe
• Servicios web de Amazon
• Amd
• Brazo
• Atlassiano
• AutomationDirect
• Bosch
• Broadcom (incluido VMware)
• Canon
• Cisco
• D-Link
• Dar a luz
• Drupal
• F5
• Fortinet
• Gitlab
• Google Androide y Píxel
• Google Chrome
• Google Cloud
• Energía de Hitachi
• HP
• HP Enterprise (incluidas las redes de Aruba)
• IBM
• Intel
• Insyde
• Marco
• Jenkins
• Redes de enebro
• Lenovo
• Distribuciones de Linux Amazon Linux, Debian, Oracle Linux, Sombrero rojo, Rocky Linux, Asustary Ubuntu
• Mediatokek
• Mitel
• Mitsubishi Electric
• Mox
• Mozilla Firefox y Thunderbird
• Nvidia
• Palo Alto Networks
• Tecnologías de Phoenix
• Qnap
• Qualcomm
• Tubal
• Salesforce
• Samsung
• SAVIA
• Schneider Electric
• Siemens
• Viento solar
• Municipal
• Flojo
• Marco de primavera
• Sinología
• Tendencia micro APEX CENTRAL, Apex uno, Política de cifrado de punto finaly WFBS
• Veritas
• Zimbray
• Zoho gestionEngine Exchange Reporter Plus y Soldado