Ciberseguridad 360 | Microsoft corrige 67 vulnerabilidades, incluido un Zero-Day en WebDAV ya explotado

Microsoft ha publicado parches para corregir 67 fallos de seguridad, incluido un error zero-day en Web Distributed Authoring and Versioning (WebDAV) que, seg�n afirma, ha sido objeto de explotaci�n activa en la red.

De las 67 vulnerabilidades, 11 se consideran cr�ticas y 56 importantes. Esto incluye 26 fallos de ejecuci�n remota de c�digo, 17 fallos de divulgaci�n de informaci�n y 14 fallos de escalada de privilegios.

Los parches se suman a las 13 deficiencias solucionadas por la compa��a en su navegador Edge, basado en Chromium, desde el lanzamiento de la actualizaci�n Patch Tuesday del mes pasado.

La vulnerabilidad que se ha utilizado como arma en ataques reales se refiere a la ejecuci�n remota de c�digo en WebDAV (CVE-2025-33053, puntuaci�n CVSS: 8,8) que puede activarse enga�ando a los usuarios para que hagan clic en una URL especialmente dise�ada.

El gigante tecnol�gico atribuy� a los investigadores de Check Point Alexandra Gofman y David Driker el descubrimiento y la notificaci�n del fallo. Cabe mencionar que CVE-2025-33053 es la primera vulnerabilidad zero-day que se revela en el est�ndar WebDAV.

En un informe separado, la empresa de ciberseguridad atribuy� el abuso de CVE-2025-33053 a un actor de amenazas conocido como Stealth Falcon (alias FruityArmor), que tiene un historial de aprovechamiento de los zero-days de Windows en sus ataques. En septiembre de 2023, se observ� que el grupo de hackers utilizaban una puerta trasera denominada Deadglyph como parte de una campa�a de espionaje dirigida a entidades de Qatar y Arabia Saud�.

"El ataque utiliz� un archivo .url que explotaba una vulnerabilidad de d�a cero (CVE-2025-33053) para ejecutar malware desde un servidor WebDAV controlado por el actor", dijo Check Point. "CVE-2025-33053 permite la ejecuci�n remota de c�digo a trav�s de la manipulaci�n del directorio de trabajo".

En la cadena de ataque observada contra una empresa de defensa no identificada en Turqu�a, el actor de la amenaza habr�a empleado CVE-2025-33053 para entregar Horus Agent, un implante personalizado construido para el marco de mando y control (C2) Mythic. Se cree que la carga maliciosa utilizada para iniciar el ataque, un archivo de acceso directo a una URL, se envi� como archivo adjunto en un correo electr�nico de phishing.

El archivo URL se utiliza para lanzar iediagcmd.exe, una utilidad de diagn�stico leg�tima para Internet Explorer, aprovech�ndolo para lanzar otro payload llamado Horus Loader, responsable de servir un documento PDF se�uelo y ejecutar el agente Horus.

"Escrito en C++, el implante no muestra solapamientos significativos con los agentes Mythic conocidos basados en C, aparte de los puntos en com�n en la l�gica gen�rica relacionada con las comunicaciones Mythic C2", dijo Check Point. "Mientras que el cargador se asegura de implementar algunas medidas para proteger el payload, los actores de la amenaza colocaron precauciones adicionales dentro de la propia puerta trasera".

Esto incluye el uso de t�cnicas como el cifrado de cadenas y el aplanamiento del flujo de control para complicar los esfuerzos de an�lisis. A continuaci�n, el backdoor se conecta a un servidor remoto para realizar tareas que le permiten recopilar informaci�n del sistema, enumerar archivos y carpetas, descargar archivos del servidor, inyectar shellcode en procesos en ejecuci�n y salir del programa.

Cadena de infecci�n CVE-2025-33053

Se estima que el agente Horus es una evoluci�n del implante personalizado Apollo, un agente .NET de c�digo abierto para el marco Mythic, que Stealth Falcon utiliz� anteriormente entre 2022 y 2023.

"Horus es una versi�n m�s avanzada del implante personalizado Apollo de los grupos de amenazas, reescrito en C++, mejorado y refactorizado", dijo Check Point.

"Al igual que la versi�n Horus, la versi�n Apollo introduce amplias capacidades de huellas dactilares de v�ctimas al tiempo que limita el n�mero de comandos compatibles. Esto permite a los actores de la amenaza centrarse en la identificaci�n sigilosa de la m�quina infectada y la entrega de la carga �til de la siguiente etapa, mientras que tambi�n mantiene el tama�o del implante significativamente m�s peque�o (s�lo 120Kb) que el agente completo."

La compa��a dijo que tambi�n observ� que el actor de la amenaza aprovechaba varias herramientas previamente no documentadas, como las siguientes

Credential Dumper, que apunta a un Controlador de Dominio ya comprometido para robar archivos relacionados con credenciales de Active Directory y Controladores de Dominio.

Passive backdoor, que escucha las solicitudes entrantes y ejecuta cargas �tiles de shellcode.

Keylogger, una herramienta C++ personalizada que registra todas las pulsaciones de teclas y las escribe en un archivo en "C:/windows/temp/~TN%LogName%.tmp".

El keylogger carece notablemente de cualquier mecanismo C2, lo que significa que probablemente trabaja en conjunto con otro componente que puede exfiltrar el archivo a los atacantes.

"Stealth Falcon emplea herramientas comerciales de ofuscaci�n y protecci�n de c�digo, as� como versiones modificadas a medida para diferentes tipos de payload", afirma Check Point. "Esto hace que sus herramientas sean m�s dif�ciles de someter a ingenier�a inversa y complica el seguimiento de los cambios t�cnicos a lo largo del tiempo".

La explotaci�n activa de CVE-2025-33053 ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) a a�adirla al cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen la correcci�n antes del 1 de julio de 2025.

"Lo que hace que este fallo sea especialmente preocupante es el uso generalizado de WebDAV en entornos empresariales para el intercambio remoto de archivos y la colaboraci�n", declar� Mike Walters, Presidente y Cofundador de Action1. "Muchas organizaciones habilitan WebDAV para necesidades empresariales leg�timas - a menudo sin comprender plenamente los riesgos de seguridad que introduce".

La vulnerabilidad m�s grave resuelta por Microsoft es un fallo de elevaci�n de privilegios en Power Automate (CVE-2025-47966, puntuaci�n CVSS: 9,8) que podr�a permitir a un atacante elevar privilegios a trav�s de una red. Sin embargo, no se requiere ninguna acci�n por parte del cliente para mitigar el fallo.

Otras vulnerabilidades destacadas son los fallos de elevaci�n de privilegios en Common Log File System Driver (CVE-2025-32713, puntuaci�n CVSS: 7,8), Windows Netlogon (CVE-2025-33070, puntuaci�n CVSS: 8,1) y Windows SMB Client (CVE-2025-33073, puntuaci�n CVSS: 8,8), as� como una vulnerabilidad RCE cr�tica no autenticada en Windows KDC Proxy Service (CVE-2025-33071, puntuaci�n CVSS: 8,1).

"En los �ltimos meses, el controlador CLFS se ha convertido en un foco constante tanto para los actores de amenazas como para los investigadores de seguridad debido a su explotaci�n en m�ltiples operaciones de ransomware", dijo Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive.

"Se clasifica como un desbordamiento de b�fer basado en heap, un tipo de vulnerabilidad de corrupci�n de memoria. La complejidad del ataque se considera baja, y una explotaci�n exitosa permite a un atacante escalar privilegios."

CrowdStrike, Synacktiv, SySS GmbH, RedTeam Pentesting y Google Project Zero han sido reconocidos por informar del fallo.

"Aunque Microsoft se refiere a CVE-2025-33073 como una elevaci�n de privilegios, en realidad se trata de una ejecuci�n remota autenticada de comandos como SYSTEM en cualquier m�quina que no aplique la firma SMB", afirman los investigadores de Synacktiv Wilfried B�card y Guillaume Andr�.

El camino hacia la explotaci�n requiere que la v�ctima se conecte a un servidor SMB malicioso controlado por el atacante, lo que en �ltima instancia conduce a la escalada de privilegios mediante un ataque de retransmisi�n Kerberos reflexivo.

"El principio detr�s del ataque es que obligamos a un host Windows a conectarse a nuestro sistema de ataque a trav�s de SMB y autenticarse a trav�s de Kerberos", dijo RedTeam Pentesting en un an�lisis t�cnico. "A continuaci�n, el ticket Kerberos se retransmite de nuevo al mismo host a trav�s de SMB. La sesi�n SMB resultante ten�a privilegios elevados de NT AUTHORITY\SYSTEM, suficientes para ejecutar comandos arbitrarios".

Adam Barnett, ingeniero jefe de software en Rapid7, dijo que la explotaci�n de CVE-2025-33071 requiere que el atacante explote un fallo criptogr�fico y gane una condici�n de carrera.

"La mala noticia es que Microsoft considera que la explotaci�n es m�s probable a pesar de todo, y puesto que un proxy KDC ayuda a que las solicitudes Kerberos de redes no fiables accedan m�s f�cilmente a activos fiables sin necesidad de una conexi�n TCP directa del cliente al controlador de dominio, la compensaci�n aqu� es que el propio proxy KDC es bastante probable que est� expuesto a una red no fiable", a�adi� Barnett.

Por �ltimo, pero no por ello menos importante, Microsoft tambi�n ha desplegado parches para corregir un error de desviaci�n del arranque seguro (CVE-2025-3052, puntuaci�n CVSS: 6,7) descubierto por Binarly, que permite la ejecuci�n de software no fiable.

"Existe una vulnerabilidad en una aplicaci�n UEFI firmada con un certificado UEFI de terceros de Microsoft, que permite a un atacante eludir UEFI Secure Boot", dijo Redmond en una alerta. "Un atacante que explotara con �xito esta vulnerabilidad podr�a eludir Secure Boot".

Fuente: thehackernews