Microsoft ha emprendedor parches para solucionar 67 fallas de seguridad, incluido un error de día cero en la autorización y versiones distribuidas en la web (WebDAV) que, según dijo, ha sido una explotación activa en la naturaleza.
De las 67 vulnerabilidades, 11 tienen una calificación crítica y 56 tienen una calificación importante en la recaída. Esto incluye 26 defectos de ejecución de código remoto, 17 defectos de divulgación de información y 14 defectos de ascensión de privilegios.
Los parches se suman a 13 deficiencias abordadas por la compañía en su navegador de borde basado en Chromium desde el extensión de la puesta al día del martes del parche del mes pasado.
La vulnerabilidad que se ha armado en los ataques del mundo positivo se refiere a una ejecución de código remoto en WebDAV (CVE-2025-33053, puntaje CVSS: 8.8) que puede desencadenar a los usuarios que hacen clic en una URL especialmente elaborada.
El hércules tecnológico acreditó a los investigadores de Check Point Alexandra Gofman y David Driker por descubrir e informar el error. Vale la pena mencionar que CVE-2025-33053 es la primera vulnerabilidad del día cero que se revela en el unificado WebDav.
En un noticia separado, la compañía de ciberseguridad atribuyó el desmán de CVE-2025-33053 a un actor de amenaza conocido como Stealth Falcon (igualmente conocido como Fruityarmor), que tiene un historial de usar los días cero de Windows en sus ataques. En septiembre de 2023, se observó el género de piratería utilizando una puerta trasera denominada Deadglyph como parte de una campaña de espionaje dirigida a entidades en Qatar y Arabia Saudita.
«El ataque utilizó un archivo .URL que explotó una vulnerabilidad de día cero (CVE-2025-33053) para ejecutar malware de un servidor WebDav controlado por el actor», dijo Check Point. «CVE-2025-33053 permite la ejecución del código remoto mediante la manipulación del directorio de trabajo».
En la dependencia de ataque observada contra una compañía de defensa no identificada en Turquía, se dice que el actor de amenaza empleó a CVE-2025-33053 para entregar Horus Agent, un implante personalizado construido para el entorno mítico de comando y control (C2). Se cree que la carga útil maliciosa utilizada para iniciar el ataque, un archivo de camino directo de URL, se envió como un archivo adjunto archivado en un correo electrónico de phishing.
El archivo de URL se utiliza para iniciar iediagcmd.exe, una utilidad de diagnosis seguro para Internet Explorer, aprovechándola para exhalar otra carga útil señal Horus Loader, que es responsable de servir a un documento PDF decoy y ejecutar Horus Agent.
«Escrito en C ++, el implante no muestra una superposición significativa con agentes míticos basados en C conocidos, separadamente de los puntos en global en la deducción genérica relacionada con las comunicaciones míticas C2», dijo Check Point. «Si acertadamente el cargador se asegura de implementar algunas medidas para proteger la carga útil, los actores de amenaza colocaron precauciones adicionales en el interior de la puerta trasera».
Esto incluye el uso de técnicas como el oculto de cadenas y el aplanamiento del flujo de control para complicar los esfuerzos de observación. La puerta trasera luego se conecta a un servidor remoto para obtener tareas que le permitan compendiar información del sistema, enumerar archivos y carpetas, descargar archivos desde el servidor, inyectar Shellcode en procesos en ejecución y salir del software.
 |
| CVE-2025-33053 dependencia de infección |
Se evalúa que Horus Agent es una desarrollo del implante Apolo personalizado, un agente .NET de código campechano para el entorno mítico, que previamente fue utilizado por Stealth Falcon entre 2022 y 2023.
«Horus es una interpretación más vanguardia del implante Apolo personalizado de los grupos de amenazas, reescritos en C ++, mejorado y refactorizado», dijo Check Point.
«Similar a la interpretación de Horus, la interpretación de Apollo presenta extensas capacidades de huellas digitales de víctimas al tiempo que limita el número de comandos compatibles. Esto permite a los actores de amenaza centrarse en la identificación sigilosa de la máquina infectada y la entrega de carga útil de la próxima etapa, al tiempo que mantiene el tamaño del implante significativamente más pequeño (solo 120 kb) que el agente completo».
La compañía dijo que igualmente observó que el actor de amenazas aprovechó varias herramientas previamente indocumentadas, como las siguientes.
- Credencial Dumper, que se dirige a un compensador de dominio ya competido para robar archivos relacionados con Active Directory y Compensador de dominio Credencial
- Backdoor pasivo, que audición las solicitudes entrantes y ejecuta las cargas efectos de ShellCode
- Keylogger, una utensilio C ++ personalizada que registra todas las teclas de teclas y las escribe en un archivo en «C: /windows/temp/~tn%Logname%.TMP»
El Keylogger carece notablemente de cualquier mecanismo C2, lo que significa que probablemente funciona pegado con otro componente que puede exfiltrar el archivo a los atacantes.
«Stealth Falcon emplea herramientas de protección y ofuscación de código comercial, así como versiones modificadas personalizadas adaptadas para diferentes tipos de carga útil», dijo el punto de control. «Esto hace que sus herramientas sean más difíciles de alterar en ingeniería y complica el seguimiento de los cambios técnicos con el tiempo».
La explotación activa de CVE-2025-33053 ha llevado a la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a agregarlo al catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren agencias federales de rama ejecutiva civil (FCEB) para aplicar la decisión antaño del 1 de julio de 2025.
«Lo que hace que este defecto sea particularmente preocupante es el uso generalizado de WebDav en entornos empresariales para compartir archivos remotos y colaboración», dijo Mike Walters, presidente y cofundador de Action1. «Muchas organizaciones permiten WebDAV para evacuación comerciales legítimas, a menudo sin comprender completamente los riesgos de seguridad que introduce».
La vulnerabilidad más severa resuelta por Microsoft es una rotura de ascensión de privilegios en Power Automate (CVE-2025-47966, puntaje CVSS: 9.8) que podría permitir a un atacante elevar los privilegios sobre una red. Sin incautación, no se requiere batalla del cliente para mitigar el error.
Other vulnerabilities of note include elevation of privilege flaws in Common Log File System Driver (CVE-2025-32713, CVSS score: 7.8), Windows Netlogon (CVE-2025-33070, CVSS score: 8.1), and Windows SMB Client (CVE-2025-33073, CVSS score: 8.8), as well as a critical unauthenticated RCE vulnerability En el servicio proxy de Windows KDC (CVE-2025-33071, puntaje CVSS: 8.1).
«En los últimos meses, el compensador de CLFS se ha convertido en un enfoque consistente tanto para los actores de amenaza como para los investigadores de seguridad correcto a su explotación en múltiples operaciones de ransomware», dijo Ben McCarthy, ingeniero de seguridad cibernético principal de Immersive.
«Se clasifica como un desbordamiento del búfer basado en el montón: un tipo de vulnerabilidad de corrupción de memoria. La complejidad del ataque se considera mengua, y la explotación exitosa permite que un atacante intensifique los privilegios».
Adam Barnett, ingeniero de software principal de Rapid7, dijo que la explotación de CVE-2025-33071 requiere que el atacante explote una rotura criptográfica y gane una condición de carrera.
«La mala informe es que Microsoft considera que la explotación es más probable que sea más probable, y donado que un proxy de KDC ayuda a las solicitudes de Kerberos de las redes no confiables para aceptar más fácilmente a los activos confiables sin privación de una conexión TCP directa desde el cliente al compensador de dominio, la compensación aquí es que el proxy KDC en sí mismo es probable que sea expuesto a una red no sólida», agregó Barnett.
Por final, pero no menos importante, Microsoft igualmente ha implementado parches para remediar un error de bypass de puesta en marcha seguro (CVE-2025-3052, puntaje CVSS: 6.7) descubierto por binarly que permite la ejecución de software no confiable.
«Existe una vulnerabilidad en una aplicación UEFI firmada con un certificado UEFI de terceros de Microsoft, que permite que un atacante omite el puesta en marcha UEFI Secure», dijo Redmond en una alerta. «Un atacante que explotó con éxito esta vulnerabilidad podría evitar el puesta en marcha seguro».
CERT Coordination Center (CERT/CC), en un aviso publicado el martes, dijo que la vulnerabilidad está enraizada en aplicaciones unificadas de interfaz de firmware desplegable (UEFI) DTBIOS y Biosflashshell de DT Research, lo que permite el bypass de puesta en marcha seguro utilizando una variable NVRAM especialmente elaborada.
«La vulnerabilidad proviene del manejo inadecuado de una variable NVRAM de tiempo de ejecución que permite una escritura arbitraria primitiva, capaz de modificar estructuras críticas de firmware, incluido el protocolo de obra de seguridad Global2 utilizado para la demostración segura de puesta en marcha», dijo CERT/CC.
«Conveniente a que las aplicaciones afectadas están firmadas por la Autoridad de Certificado de Microsoft UEFI, esta vulnerabilidad puede explotarse en cualquier sistema compatible con la UEFI, lo que permite que el código sin firmar se ejecute durante el proceso de puesta en marcha».
La explotación exitosa de la vulnerabilidad podría permitir la ejecución de código no firmado o astuto incluso antaño de que se cargue el sistema activo, lo que podría permitir a los atacantes exhalar malware persistente que puede sobrevivir a los reinicios e incluso deshabilitar el software de seguridad.
Microsoft, sin incautación, no se ve afectado por CVE-2025-4275 (igualmente conocido como Hydroph0BIA), otra vulnerabilidad segura de bypass de puesta en marcha presente en una aplicación UEFI Insydeh2o que permite la inyección de certificados digitales a través de una variable NVRAM sin protección («SecureflShCertData»), lo que resulta en la ejecución de código improcedente a nivel de firmware.
«Este problema surge del uso inseguro de una variable NVRAM, que se utiliza como almacenamiento de confianza para un certificado digital en la dependencia de firmeza de confianza», dijo CERT/CC. «Un atacante puede juntar su propio certificado en esta variable y después ejecutar un firmware improcedente (firmado por el certificado inyectado) durante el proceso de puesta en marcha temprano en el interior del entorno UEFI».
Parches de software de otros proveedores
Adicionalmente de Microsoft, otros proveedores igualmente han emprendedor actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, incluidas, incluidas
- Adobe
- Servicios web de Amazon
- Amd
- Articulación
- Atlassiano
- AutomationDirect
- Bosch
- Broadcom (incluido VMware)
- Canon
- Cisco
- D-Link
- Dar a luz
- Drupal
- F5
- Fortinet
- Gitlab
- Google Android y Pixel
- Google Chrome
- Google Cloud
- Energía de Hitachi
- HP
- HP Enterprise (incluida la red de Aruba)
- IBM
- Intel
- Insyde
- Entorno
- Jenkins
- Redes de enebro
- Lenovo
- Distribuciones de Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, Suse y Ubuntu
- Mediatokek
- Mitel
- Mitsubishi Electric
- Mox
- Mozilla Firefox y Thunderbird
- Nvidia
- Palo Parada Networks
- Tecnologías de Phoenix
- Qnap
- Qualcomm
- Tubal
- Salesforce
- Samsung
- SAVIA
- Schneider Electric
- Siemens
- Rumbo solar
- Municipal
- Flojo
- Entorno de primavera
- Sinología
- Trend Micro Apex Central, Apex One, PolicyServer de oculto de punto final y WFBS
- Veritas
- Zimbra, y
- Zoho ManaginEngine Exchange Reporter Plus y OpManager
