Hackers εκμεταλλεύονται zero-day ευπάθεια στο Windows WebDav
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers εκμεταλλεύονται zero-day ευπάθεια στο Windows WebDav
https://www.secnews.gr/650747/hackers-ekmetalleuontai-zero-day-eupatheia-windows-webdav/
Jun 12th 2025, 12:10
by Digital Fortress
Η ομάδα κυβερνοκατασκοπείας Stealth Falcon (γνωστή και ως FruityArmor) αξιοποιεί μια zero-day ευπάθεια στο σύστημα WebDAV των Windows για στοχευμένες επιθέσεις σε οργανισμούς άμυνας και κυβερνητικά δίκτυα σε Τουρκία, Κατάρ, Αίγυπτο και Υεμένη. Οι επιθέσεις έχουν ξεκινήσει από το Μάρτιο.
Η εν λόγω ομάδα APT (Advanced Persistent Threat), με ιστορικό δραστηριότητας κυρίως στη Μέση Ανατολή, φέρεται να χρησιμοποίησε το κενό ασφαλείας CVE-2025-33053, μια ευπάθεια για απομακρυσμένη εκτέλεση κώδικα (RCE) που εκμεταλλεύεται τον ακατάλληλο χειρισμό του working directory από συγκεκριμένα system executables.
Όταν ένα αρχείο .url ορίζει το WorkingDirectory του σε remote WebDAV path, ένα ενσωματωμένο εργαλείο των Windows μπορεί να εξαπατηθεί ώστε να εκτελέσει κακόβουλο εκτελέσιμο αρχείο από αυτήν την απομακρυσμένη τοποθεσία αντί για την νόμιμη.
Δείτε επίσης: Fortinet και Ivanti διορθώνουν ευπάθειες υψηλής σοβαρότητας
Αυτό επιτρέπει στους εισβολείς να αναγκάζουν συσκευές να εκτελούν αυθαίρετο κώδικα απομακρυσμένα από WebDAV servers που βρίσκονται υπό τον έλεγχό τους, χωρίς να ρίχνουν κακόβουλα αρχεία τοπικά. Έτσι, οι επιθέσεις γίνονται πιο ύπουλες και αόρατες.
Η ευπάθεια αποκαλύφθηκε από την Check Point Research, η οποία επιβεβαίωσε την εκμετάλλευσή της σε στοχευμένες απόπειρες, όπως αυτή που καταγράφηκε σε αμυντική εταιρεία στην Τουρκία. Η Microsoft διόρθωσε το κενό ασφαλείας στην πιο πρόσφατη ενημέρωση Patch Tuesday, που κυκλοφόρησε προχθές.
Παρότι δεν έχουν επιβεβαιωθεί πλήρως επιτυχημένες παραβιάσεις, οι ερευνητές επισημαίνουν ότι η ευπάθεια είναι λειτουργική.
Οι κυβερνοεπιθέσεις που αποδόθηκαν στην APT ομάδα Stealth Falcon βασίστηκαν σε μια μέχρι πρότινος άγνωστη τεχνική απομακρυσμένης εκτέλεσης κώδικα. Σύμφωνα με ανάλυση της Check Point Research, οι επιτιθέμενοι χρησιμοποίησαν ένα παραπλανητικό .url αρχείο μεταμφιεσμένο σε PDF, το οποίο απέστειλαν σε επιλεγμένους στόχους μέσω phishing emails. Το αρχείο παρέπεμπε στο iediagcmd.exe, ένα επίσημο εργαλείο diagnostic του Internet Explorer, με στόχο να ενεργοποιηθεί κακόβουλη αλληλουχία ενεργειών. Όταν εκτελείται, αυτό το εργαλείο εκκινεί διάφορες diagnostic εντολές, όπως route, ipconfig και netsh, για να βοηθήσει στην αντιμετώπιση προβλημάτων δικτύωσης.
Δείτε επίσης: Κρίσιμη ευπάθεια διορθώθηκε στο SAP NetWeaver
Ωστόσο, το ελάττωμα είναι εκμεταλλεύσιμο λόγω του τρόπου με τον οποίο τα Windows εντοπίζουν και εκτελούν αυτά τα command-line διαγνωστικά εργαλεία.
Όταν εκτελείται το iediagcmd.exe, τα διαγνωστικά προγράμματα των Windows ξεκινούν χρησιμοποιώντας το .NET Process.Start() function . Αυτό αναζητά πρώτα το τρέχον working directory της εφαρμογής για το πρόγραμμα, πριν αναζητήσει τους φακέλους συστήματος των Windows, όπως το System32.
Σε αυτήν την επίθεση, το κακόβουλο .url exploit ορίζει το working directory στον WebDAV server του εισβολέα, προκαλώντας το εργαλείο iediagcmd.exe να εκτελέσει τις εντολές απευθείας από το απομακρυσμένο κοινόχρηστο στοιχείο WebDav.
Έτσι επιτρέπεται η εκτέλεση του fake route.exe program του εισβολέα από τον απομακρυσμένο διακομιστή, που εγκαθιστά ένα custom multi-stage loader με το όνομα 'Horus Loader'. Αυτό με τη σειρά του, εγκαθιστά το 'Horus Agent', ένα custom C++ Mythic C2 implant που υποστηρίζει την εκτέλεση εντολών για system fingerprinting, αλλαγές ρυθμίσεων, shellcode injection και λειτουργίες αρχείων.
Η Check Point Research εντόπισε επίσης εργαλεία post-exploitation που χρησιμοποιούνται στη δεύτερη φάση της επίθεσης, συμπεριλαμβανομένου ενός credential file dumper, ενός keylogger και ενός passive backdoor.
Η έκθεση επισημαίνει τη συνεχιζόμενη εξέλιξη της ομάδας Stealth Falcon, που δραστηριοποιείται από το 2012, με έμφαση σε αποστολές ψηφιακής κατασκοπείας υψηλής ακρίβειας. Ενώ παλαιότερα βασίζονταν σε εργαλεία όπως οι agents Apollo, τα σύγχρονα payloads Horus είναι πιο modular, εντοπίζονται πιο δύσκολα και προσαρμόζονται σε διάφορα επιχειρησιακά σενάρια.
Καθώς η ευπάθεια CVE-2025-33053 εξακολουθεί να αξιοποιείται ενεργά, οι ειδικοί ασφαλείας συνιστούν στους οργανισμούς να εφαρμόσουν άμεσα τις πιο πρόσφατες ενημερώσεις των Windows.
Δείτε επίσης: Ευπάθεια του ManageEngine Exchange Reporter Plus επιτρέπει RCE
Σε περιπτώσεις που η αναβάθμιση δεν είναι εφικτή, είναι ζωτικής σημασίας να μπλοκαριστεί ή να παρακολουθείται στενά το WebDAV traffic, ειδικά για ύποπτες εξερχόμενες συνδέσεις προς άγνωστους απομακρυσμένους servers.
Όπως προείπαμε, η zero-day ευπάθεια διορθώθηκε στο Microsoft Patch Tuesday Ιουνίου 2025. Εκτός από αυτή διορθώθηκε και ένα δεύτερο zero-day, το CVE-2025-33073, που επηρεάζει το Windows SMB client. Το συγκεκριμένο σφάλμα επιτρέπει σε εξουσιοδοτημένο εισβολέα να αποκτήσει δικαιώματα SYSTEM, το υψηλότερο επίπεδο πρόσβασης στα Windows.
«Ο ακατάλληλος έλεγχος πρόσβασης στο Windows SMB μπορεί να οδηγήσει σε ανύψωση προνομίων εντός ενός εταιρικού δικτύου», εξηγεί η Microsoft.
Η ευπάθεια CVE-2025-33073 στο Windows SMB client μπορεί να αξιοποιηθεί με έναν ιδιαίτερα ύπουλο τρόπο. Συγκεκριμένα, ένας εισβολέας θα μπορούσε να εκτελέσει κακόβουλο script που αναγκάζει το θύμα να συνδεθεί αυτόματα στον server του επιτιθέμενου μέσω SMB, προσπαθώντας να πραγματοποιήσει έλεγχο ταυτότητας. Αυτή η διαδικασία θα μπορούσε να οδηγήσει σε ανύψωση δικαιωμάτων (privilege escalation) στο σύστημα-στόχο.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers εκμεταλλεύονται zero-day ευπάθεια στο Windows WebDav
https://www.secnews.gr/650747/hackers-ekmetalleuontai-zero-day-eupatheia-windows-webdav/
Jun 12th 2025, 12:10
by Digital Fortress
Η ομάδα κυβερνοκατασκοπείας Stealth Falcon (γνωστή και ως FruityArmor) αξιοποιεί μια zero-day ευπάθεια στο σύστημα WebDAV των Windows για στοχευμένες επιθέσεις σε οργανισμούς άμυνας και κυβερνητικά δίκτυα σε Τουρκία, Κατάρ, Αίγυπτο και Υεμένη. Οι επιθέσεις έχουν ξεκινήσει από το Μάρτιο.
Η εν λόγω ομάδα APT (Advanced Persistent Threat), με ιστορικό δραστηριότητας κυρίως στη Μέση Ανατολή, φέρεται να χρησιμοποίησε το κενό ασφαλείας CVE-2025-33053, μια ευπάθεια για απομακρυσμένη εκτέλεση κώδικα (RCE) που εκμεταλλεύεται τον ακατάλληλο χειρισμό του working directory από συγκεκριμένα system executables.
Όταν ένα αρχείο .url ορίζει το WorkingDirectory του σε remote WebDAV path, ένα ενσωματωμένο εργαλείο των Windows μπορεί να εξαπατηθεί ώστε να εκτελέσει κακόβουλο εκτελέσιμο αρχείο από αυτήν την απομακρυσμένη τοποθεσία αντί για την νόμιμη.
Δείτε επίσης: Fortinet και Ivanti διορθώνουν ευπάθειες υψηλής σοβαρότητας
Αυτό επιτρέπει στους εισβολείς να αναγκάζουν συσκευές να εκτελούν αυθαίρετο κώδικα απομακρυσμένα από WebDAV servers που βρίσκονται υπό τον έλεγχό τους, χωρίς να ρίχνουν κακόβουλα αρχεία τοπικά. Έτσι, οι επιθέσεις γίνονται πιο ύπουλες και αόρατες.
Η ευπάθεια αποκαλύφθηκε από την Check Point Research, η οποία επιβεβαίωσε την εκμετάλλευσή της σε στοχευμένες απόπειρες, όπως αυτή που καταγράφηκε σε αμυντική εταιρεία στην Τουρκία. Η Microsoft διόρθωσε το κενό ασφαλείας στην πιο πρόσφατη ενημέρωση Patch Tuesday, που κυκλοφόρησε προχθές.
Παρότι δεν έχουν επιβεβαιωθεί πλήρως επιτυχημένες παραβιάσεις, οι ερευνητές επισημαίνουν ότι η ευπάθεια είναι λειτουργική.
Οι κυβερνοεπιθέσεις που αποδόθηκαν στην APT ομάδα Stealth Falcon βασίστηκαν σε μια μέχρι πρότινος άγνωστη τεχνική απομακρυσμένης εκτέλεσης κώδικα. Σύμφωνα με ανάλυση της Check Point Research, οι επιτιθέμενοι χρησιμοποίησαν ένα παραπλανητικό .url αρχείο μεταμφιεσμένο σε PDF, το οποίο απέστειλαν σε επιλεγμένους στόχους μέσω phishing emails. Το αρχείο παρέπεμπε στο iediagcmd.exe, ένα επίσημο εργαλείο diagnostic του Internet Explorer, με στόχο να ενεργοποιηθεί κακόβουλη αλληλουχία ενεργειών. Όταν εκτελείται, αυτό το εργαλείο εκκινεί διάφορες diagnostic εντολές, όπως route, ipconfig και netsh, για να βοηθήσει στην αντιμετώπιση προβλημάτων δικτύωσης.
Δείτε επίσης: Κρίσιμη ευπάθεια διορθώθηκε στο SAP NetWeaver
Ωστόσο, το ελάττωμα είναι εκμεταλλεύσιμο λόγω του τρόπου με τον οποίο τα Windows εντοπίζουν και εκτελούν αυτά τα command-line διαγνωστικά εργαλεία.
Όταν εκτελείται το iediagcmd.exe, τα διαγνωστικά προγράμματα των Windows ξεκινούν χρησιμοποιώντας το .NET Process.Start() function . Αυτό αναζητά πρώτα το τρέχον working directory της εφαρμογής για το πρόγραμμα, πριν αναζητήσει τους φακέλους συστήματος των Windows, όπως το System32.
Σε αυτήν την επίθεση, το κακόβουλο .url exploit ορίζει το working directory στον WebDAV server του εισβολέα, προκαλώντας το εργαλείο iediagcmd.exe να εκτελέσει τις εντολές απευθείας από το απομακρυσμένο κοινόχρηστο στοιχείο WebDav.
Έτσι επιτρέπεται η εκτέλεση του fake route.exe program του εισβολέα από τον απομακρυσμένο διακομιστή, που εγκαθιστά ένα custom multi-stage loader με το όνομα 'Horus Loader'. Αυτό με τη σειρά του, εγκαθιστά το 'Horus Agent', ένα custom C++ Mythic C2 implant που υποστηρίζει την εκτέλεση εντολών για system fingerprinting, αλλαγές ρυθμίσεων, shellcode injection και λειτουργίες αρχείων.
Η Check Point Research εντόπισε επίσης εργαλεία post-exploitation που χρησιμοποιούνται στη δεύτερη φάση της επίθεσης, συμπεριλαμβανομένου ενός credential file dumper, ενός keylogger και ενός passive backdoor.
Η έκθεση επισημαίνει τη συνεχιζόμενη εξέλιξη της ομάδας Stealth Falcon, που δραστηριοποιείται από το 2012, με έμφαση σε αποστολές ψηφιακής κατασκοπείας υψηλής ακρίβειας. Ενώ παλαιότερα βασίζονταν σε εργαλεία όπως οι agents Apollo, τα σύγχρονα payloads Horus είναι πιο modular, εντοπίζονται πιο δύσκολα και προσαρμόζονται σε διάφορα επιχειρησιακά σενάρια.
Καθώς η ευπάθεια CVE-2025-33053 εξακολουθεί να αξιοποιείται ενεργά, οι ειδικοί ασφαλείας συνιστούν στους οργανισμούς να εφαρμόσουν άμεσα τις πιο πρόσφατες ενημερώσεις των Windows.
Δείτε επίσης: Ευπάθεια του ManageEngine Exchange Reporter Plus επιτρέπει RCE
Σε περιπτώσεις που η αναβάθμιση δεν είναι εφικτή, είναι ζωτικής σημασίας να μπλοκαριστεί ή να παρακολουθείται στενά το WebDAV traffic, ειδικά για ύποπτες εξερχόμενες συνδέσεις προς άγνωστους απομακρυσμένους servers.
Όπως προείπαμε, η zero-day ευπάθεια διορθώθηκε στο Microsoft Patch Tuesday Ιουνίου 2025. Εκτός από αυτή διορθώθηκε και ένα δεύτερο zero-day, το CVE-2025-33073, που επηρεάζει το Windows SMB client. Το συγκεκριμένο σφάλμα επιτρέπει σε εξουσιοδοτημένο εισβολέα να αποκτήσει δικαιώματα SYSTEM, το υψηλότερο επίπεδο πρόσβασης στα Windows.
«Ο ακατάλληλος έλεγχος πρόσβασης στο Windows SMB μπορεί να οδηγήσει σε ανύψωση προνομίων εντός ενός εταιρικού δικτύου», εξηγεί η Microsoft.
Η ευπάθεια CVE-2025-33073 στο Windows SMB client μπορεί να αξιοποιηθεί με έναν ιδιαίτερα ύπουλο τρόπο. Συγκεκριμένα, ένας εισβολέας θα μπορούσε να εκτελέσει κακόβουλο script που αναγκάζει το θύμα να συνδεθεί αυτόματα στον server του επιτιθέμενου μέσω SMB, προσπαθώντας να πραγματοποιήσει έλεγχο ταυτότητας. Αυτή η διαδικασία θα μπορούσε να οδηγήσει σε ανύψωση δικαιωμάτων (privilege escalation) στο σύστημα-στόχο.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz