Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Опасная уязвимость Windows WebDAV атакует

2 мин
Изображение: recraft Специалисты компании Check Point Research сообщили об активной эксплуатации критической уязвимости CVE-2025-33053, обнаруженной в механизме WebDAV операционной системы Windows. Хакерская группировка Stealth Falcon, также известная под названием FruityArmor, применяет этот уязвимый компонент для удалённого исполнения вредоносного кода без локального размещения файлов. С начала марта 2025 года атаки были нацелены на военные и государственные учреждения в Турции, Катаре, Египте и Йемене. Как отметили исследователи Check Point, вектор заражения начинается с вредоносного .url-файла, замаскированного под PDF-документ. Он поступает жертве через фишинговое письмо. Этот файл перенаправляет к встроенному инструменту iediagcmd.exe — системной утилите диагностики Internet Explorer. По информации Check Point, при запуске iediagcmd.exe задействуется функция Process.Start() из библиотеки .NET, которая сначала обращается к текущему рабочему каталогу, а затем — к системным папкам W

Изображение: recraft

Специалисты компании Check Point Research сообщили об активной эксплуатации критической уязвимости CVE-2025-33053, обнаруженной в механизме WebDAV операционной системы Windows. Хакерская группировка Stealth Falcon, также известная под названием FruityArmor, применяет этот уязвимый компонент для удалённого исполнения вредоносного кода без локального размещения файлов.

С начала марта 2025 года атаки были нацелены на военные и государственные учреждения в Турции, Катаре, Египте и Йемене. Как отметили исследователи Check Point, вектор заражения начинается с вредоносного .url-файла, замаскированного под PDF-документ. Он поступает жертве через фишинговое письмо. Этот файл перенаправляет к встроенному инструменту iediagcmd.exe — системной утилите диагностики Internet Explorer.

По информации Check Point, при запуске iediagcmd.exe задействуется функция Process.Start() из библиотеки .NET, которая сначала обращается к текущему рабочему каталогу, а затем — к системным папкам Windows. Этим и воспользовались злоумышленники: через .url-файл задаётся удалённый путь на WebDAV-сервер, контролируемый атакующими. В результате диагностический инструмент запускает вредоносный файл с удалённого ресурса, полагая его легитимным.

Эксплойт позволяет хакерам незаметно запускать исполняемые файлы, размещённые вне устройства жертвы. В данном случае, с сервера под их контролем загружается поддельный route.exe, который устанавливает многоступенчатый загрузчик Horus Loader. Затем начинается развёртывание основной вредоносной программы — Horus Agent. Этот инструмент, написанный на C++, взаимодействует с фреймворком Mythic C2 и поддерживает удалённое управление системой, внедрение шелл-кода, файловые операции и сбор системной информации.

Как подчеркнули в Check Point Research, несмотря на то что отдельные попытки проникновения не дали результата, факт успешной эксплуатации уязвимости подтверждён. Анализ образцов, извлечённых с серверов злоумышленников, показал высокий уровень подготовки атакующих и использование ранее нераскрытых методов.

Компания Microsoft устранила уязвимость в рамках июньского обновления Patch Tuesday. Эксперты в области кибербезопасности настоятельно рекомендуют немедленно установить все свежие патчи, особенно на устройствах в критической инфраструктуре и госсекторе.

Оригинал публикации на сайте CISOCLUB: "Хакеры использовали уязвимости нулевого дня в Windows WebDAV для скрытных атак".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.