Microsoft heeft patches uitgebracht om 67 beveiligingsfouten te repareren, waaronder één zero-day bug in web gedistribueerde authoring en versiebeheer (WebDAV) waarvan het zei is onder actieve uitbuiting in het wild.
Van de 67 kwetsbaarheden worden 11 cruciaal beoordeeld en zijn 56 belangrijk in de ernst. Dit omvat 26 fouten op afstand uit externe code, 17 fouten voor informatie -openbaarmaking en 14 privilege -escalatie -fouten.
De patches komen bovenop 13 tekortkomingen die door het bedrijf worden aangepakt in zijn chroom-gebaseerde Edge-browser sinds de release van de patch dinsdag update van vorige maand.
De kwetsbaarheid die is bewapend in real-world aanvallen betreft een externe code-uitvoering in WebDAV (CVE-2025-33053, CVSS-score: 8.8) die kunnen worden geactiveerd door gebruikers te bedriegen om te klikken op een speciaal vervaardigde URL.
De tech gigant heeft Check Point -onderzoekers Alexandra Gofman en David Driker gecrediteerd voor het ontdekken en rapporteren van de bug. Het is vermeldenswaard dat CVE-2025-33053 de eerste kwetsbaarheid van nuldagen is die wordt bekendgemaakt in de WebDAV-standaard.
In een afzonderlijk rapport schreef het cybersecuritybedrijf het misbruik van CVE-2025-33053 toe aan een dreigingsacteur die bekend staat als Stealth Falcon (aka fruithaarmor), die een geschiedenis heeft van het gebruik van Windows Zero-Days in zijn aanvallen. In september 2023 werd de hackgroep waargenomen met behulp van een achterdeur genaamd Deadglyph als onderdeel van een spionage -campagne gericht op entiteiten in Qatar en Saoedi -Arabië.
“De aanval gebruikte een .url-bestand dat een zero-day kwetsbaarheid (CVE-2025-33053) gebruikte om malware uit een acteur-gecontroleerde WebDAV-server uit te voeren,” zei Check Point. “CVE-2025-33053 maakt de externe code-uitvoering mogelijk door manipulatie van de werkmap.”
In de aanvalsketen waargenomen tegen een niet nader genoemde defensiebedrijf in Turkije, zou de dreigingsacteur CVE-2025-33053 hebben gebruikt om Horus Agent te leveren, een aangepast implantaat gebouwd voor het mythische command-and-control (C2) framework. Er wordt aangenomen dat de kwaadaardige lading die werd gebruikt om de aanval te initiëren, een URL -snelkoppelingsbestand, werd verzonden als een gearchiveerde bijlage in een phishing -e -mail.
Het URL -bestand wordt gebruikt om IEDIAGCMD.EXE te starten, een legitiem hulpprogramma voor diagnostiek voor Internet Explorer, het gebruik van een andere payload genaamd Horus Loader, die verantwoordelijk is voor het bedienen van een Decoy PDF -document en Horus Agent uit te voeren.
“Geschreven in C ++, vertoont het implantaat geen significante overlapping met bekende op C gebaseerde mythische agenten, afgezien van overeenkomsten in de generieke logica met betrekking tot mythische C2-communicatie,” zei Check Point. “Hoewel de lader ervoor zorgt dat enkele maatregelen worden uitgevoerd om de lading te beschermen, hebben de dreigingsactoren extra voorzorgsmaatregelen binnen de achterdeur zelf geplaatst.”
Dit omvat het gebruik van technieken zoals stringcodering en controlestroomafvlakking om analyse -inspanningen te compliceren. De achterdeur maakt vervolgens verbinding met een externe server om taken op te halen waarmee het systeeminformatie kan verzamelen, bestanden en mappen kan ophalen, bestanden van de server kan downloaden, ShellCode in te voeren in het uitvoeren van processen en het programma verlaat.
Horus Agent wordt beoordeeld als een evolutie van het aangepaste Apollo-implantaat, een open-source .NET-agent voor mythisch raamwerk, dat eerder tussen 2022 en 2023 door Stealth Falcon werd gebruikt.
“Horus is een meer geavanceerde versie van het aangepaste Apollo -implantaat van de dreigingsgroepen, herschreven in C ++, verbeterd en refactored,” zei Check Point.
“Vergelijkbaar met de Horus -versie introduceert de Apollo -versie uitgebreide vingerafdrukmogelijkheden voor slachtoffers, terwijl het aantal ondersteunde commando’s wordt beperkt. Hierdoor kunnen de dreigingsactoren zich concentreren op een heimelijke identificatie van de geïnfecteerde machine en de volgende fase lading lading, terwijl de implantaatgrootte aanzienlijk kleiner blijft (slechts 120 kb) dan de volledige agent.”
Het bedrijf zei dat het ook observeerde dat de dreigingsacteur verschillende eerder niet -papieren hulpmiddelen benutten, zoals de volgende –
- Credential Dumper, die zich richt op een reeds gecomprimeerde domeincontroller om Active Directory en Domain Controller-inloggerelateerde bestanden te stelen
- Passieve achterdeur, die luistert voor inkomende verzoeken en skellcode -payloads uitvoert
- KeyLogger, een aangepaste C ++ -tool die alle toetsaanslagen opneemt en schrijft naar een bestand onder “C: /windows/temp/~tn%Logname%.tmp”
De keylogger mist met name een C2 -mechanisme, wat betekent dat het waarschijnlijk werkt in combinatie met een andere component die het bestand aan de aanvallers kan versterken.
“Stealth Falcon maakt gebruik van obfuscatie- en beschermingstools voor commerciële codes, evenals op maat gemodificeerde versies op maat gemaakt voor verschillende soorten lading,” zei het controlepunt. “Dit maakt hun tools moeilijker om reverse-engineer te hebben en compliceert het volgen van technische veranderingen in de loop van de tijd.”
De actieve uitbuiting van CVE-2025-33053 heeft de Amerikaanse cybersecurity en infrastructuurbeveiliging (CISA) ertoe aangezet deze toe te voegen aan de bekende uitgebuite vulplaties (KEV) -catalogus, waarbij de federale civiele executive tack (FCEB) agentschappen moeten worden toegepast op 1 juli 2025.
“Wat deze fout bijzonder zorgt, is het wijdverbreide gebruik van WebDAV in enterprise-omgevingen voor het delen van bestanden op afstand en samenwerking,” zei Mike Walters, president en mede-oprichter van Action1. “Veel organisaties stellen WebDAV mogelijk voor legitieme zakelijke behoeften – vaak zonder de beveiligingsrisico’s die het introduceert volledig te begrijpen.”
De meest ernstige kwetsbaarheid opgelost door Microsoft is een escalatiefout met privilege in Power Automate (CVE-2025-47966, CVSS-score: 9.8) die een aanvaller in staat zou kunnen stellen privileges over een netwerk te verheffen. Er is echter geen klantactie vereist om de bug te verminderen.
Andere opmerkelijke kwetsbaarheden van notities zijn onder meer een hoogte van privilege-flaws in gemeenschappelijk logbestandssysteem Driver (CVE-2025-32713, CVSS-score: 7.8), Windows NetLogon (CVE-2025-33070, CVSS SCORE: 8.1) en Windows SMB-client (CVE-2025-33073, CVSS SCORE: 8.8), 8.8), CVSS SCORE: 8.8). In de Windows KDC Proxy Service (CVE-2025-33071, CVSS-score: 8.1).
“In de afgelopen maanden is de CLFS -chauffeur een consistente focus geworden voor zowel bedreigingsactoren als beveiligingsonderzoekers vanwege de uitbuiting in meerdere ransomware -operaties,” zei Ben McCarthy, hoofdcyberbeveiligingsingenieur bij Immersive.
“Het is gecategoriseerd als een op Heap gebaseerde bufferoverloop-een soort kwetsbaarheid van geheugencorruptie. De aanvalscomplexiteit wordt als laag beschouwd en succesvolle exploitatie stelt een aanvaller in staat om privileges te escaleren.”
Adam Barnett, hoofdsoftware-ingenieur bij Rapid7, zei dat de exploitatie van CVE-2025-33071 vereist dat de aanvaller een cryptografische fout gebruikt en een raceconditie wint.
“Het slechte nieuws is dat Microsoft hoe dan ook waarschijnlijker is, en aangezien een KDC-proxy Kerberos-verzoeken van niet-vertrouwde netwerken helpt om gemakkelijker toegang te krijgen tot vertrouwde activa zonder dat een directe TCP-verbinding van de klant naar de Domain-controller is toegevoegd, is de afweging hier een vrij kans op een onbetrouwbaar netwerk,” Barnett toegevoegd.
Last but not least heeft Microsoft ook patches uitgerold om een veilige opstartbug (CVE-2025-3052, CVSS-score: 6.7) te verhelpen, ontdekt door binarly die de uitvoering van niet-vertrouwde software mogelijk maakt.
“Er bestaat een kwetsbaarheid in een UEFI-applicatie ondertekend met een Microsoft DERD-UEFI-certificaat, waarmee een aanvaller de UEFI-boot van UEFI kan omzeilen,” zei Redmond in een waarschuwing. “Een aanvaller die met succes deze kwetsbaarheid heeft benut, kan de boot omzeilen.”
Cert Coördinatiecentrum (CERC/CC), in een advies dat dinsdag is vrijgegeven, zei dat de kwetsbaarheid is geworteld in Unified Extensible Firmware Interface (UEFI) -toepassingen DTBIOS en BIOSFLASHSHELL van DT Research, waardoor veilige bootbypass mogelijk is met een speciaal vervaardigde NVRAM -variabele.
“De kwetsbaarheid komt voort uit een onjuiste afhandeling van een runtime NVRAM -variabele die een willekeurig schrijfprimitief mogelijk maakt, in staat om kritieke firmwarestructuren te wijzigen, waaronder het Global Security2 Architectural Protocol dat wordt gebruikt voor veilige opstartverificatie,” zei Cert/CC.
“Omdat de getroffen applicaties worden ondertekend door de Microsoft UEFI Certificate Authority, kan deze kwetsbaarheid worden benut op elk UEFI-conform systeem, waardoor niet-ondertekende code kan worden uitgevoerd tijdens het opstartproces.”
Succesvolle exploitatie van de kwetsbaarheid kan de uitvoering van niet -ondertekende of kwaadaardige code mogelijk maken, zelfs voordat het besturingssysteem wordt geladen, waardoor aanvallers mogelijk persistente malware kunnen laten vallen die herstart en zelfs beveiligingssoftware kan uitschakelen.
Microsoft wordt echter niet beïnvloed door CVE-2025-4275 (AKA Hydoph0Bia), een andere beveiligde opstartbypass-kwetsbaarheid die aanwezig is in een Insyde H2O UEFI-applicatie die digitale certificaatinjectie mogelijk maakt via een onbeschermde NVRAM-variabele (“” SecureFlashCertData “), resulterend in arbitrare code-niveau.
“Dit probleem komt voort uit het onveilige gebruik van een NVRAM -variabele, die wordt gebruikt als vertrouwde opslag voor een digitaal certificaat in de vertrouwensvalidatieketen,” zei Cert/CC. “Een aanvaller kan zijn eigen certificaat opslaan in deze variabele en vervolgens willekeurige firmware (ondertekend door het geïnjecteerde certificaat) uitvoeren tijdens het vroege opstartproces in de UEFI -omgeving.”
