Microsoft ha lanzado un parche para solucionar 67 fallas de seguridad, incluida la autoridad distribuida en la web y los errores de día cero en las versiones (WebDAV).
De las 67 vulnerabilidades, 11 son calificadas como importantes en la gravedad y 56 están clasificados. Esto incluye 26 defectos de ejecución de código remoto, 17 defectos de divulgación de información y 14 defectos de escalada de privilegios.
El parche se suma a los 13 inconvenientes que la compañía ha abordado en los navegadores de borde basados en Chromium desde el lanzamiento de la actualización del martes del parche el mes pasado.
La vulnerabilidad armada en ataques reales se relaciona con la ejecución de código remoto en WebDAV (CVE-2025-33053, puntaje CVSS: 8.8).
El gigante de la tecnología elogió a los investigadores de Checkpoint Alexandra Goffman y David Dricker por descubrir e informar el error. Vale la pena mencionar que CVE-2025-33053 es la primera vulnerabilidad de día cero divulgada en el estándar WebDAV.
En otro informe, las empresas de ciberseguridad atribuyeron el abuso de CVE-2025-33053 a un actor de amenaza conocido como Falcon Stealth (también conocido como Fruityarmor), que tiene un historial de aprovechar el día de cero de Windows en ataques. En septiembre de 2023, se observaron grupos de piratería utilizando puertas traseras llamadas Deadglyphs como parte de una actividad de espionaje dirigida a las entidades de Qatar y Arabia Saudita.
«El ataque utilizó un archivo .URL que explotó una vulnerabilidad de día cero (CVE-2025-33053) para ejecutar malware desde un servidor WebDav controlado por el actor», dijo Check Point. «CVE-2025-33053 permite la ejecución de código remoto a través de operaciones de directorio de trabajo».
En la cadena de ataque observada contra una compañía de defensa turca no identificada, se dice que el actor de amenaza adoptó CVE-2025-33053 para entregar el Agente Horus, un implante personalizado creado para el marco de Comando y Control Mítico (C2). Se cree que la carga útil maliciosa utilizada para lanzar un ataque, un archivo de acceso directo de URL, fue enviado como un archivo adjunto archivado en un correo electrónico de phishing.
El archivo URL se utiliza para iniciar iediaGCMD.exe, una utilidad de diagnóstico legal en Internet Explorer, y lo utiliza para lanzar otra carga útil llamada HolsLoader.
«Los implantes escritos en C ++ no muestran una superposición significativa con agentes mitológicos basados en C conocidos, excepto por la comunidad de la lógica general relacionada con la comunicación mitológica de C2», dijo Checkpoint. «El cargador asegura que algunas medidas se implementen para proteger la carga útil, pero los actores de amenaza han impuesto precauciones adicionales a la puerta trasera».
Esto implica el uso de cifrado de cadena y métodos de aplanamiento de flujo de control, lo que complica los esfuerzos analíticos. La puerta trasera luego se conecta a un servidor remoto para recopilar información del sistema, enumerar archivos y carpetas, descargar archivos desde el servidor, insertar Shellcode en el proceso de ejecución y obtener tareas que puedan salir del programa.
El agente de Horus está calificado como una evolución de los implantes Apolo personalizados, el agente .NET de código abierto para el marco mítico que anteriormente fue utilizado por Stealth Falcon entre 2022 y 2023.
«Horus es una versión más avanzada de los implantes de Apolo personalizados para grupos de amenazas que han sido reescritos, mejorados y refactorizados en C ++», dijo Checkpoint.
«Al igual que la versión Horus, la versión Apollo presenta una amplia gama de capacidades de huellas dactilares de víctimas, al tiempo que limita el número de comandos compatibles. Esto permite a los actores de amenaza centrarse en la identificación sigilosa de las máquinas infectadas y la entrega de la carga útil de la próxima etapa, pero el tamaño del implante es significativamente más pequeño que el agente completo».
La compañía también dijo que observó a los actores de amenaza que están aprovechando varias herramientas previamente indocumentadas como las que dijeron anteriormente,
Un amortiguador de credenciales dirigido a un controlador de dominio ya forzado robará archivos relacionados con Active Directory y Credentials de controlador de dominio. Backdoor pasivo.
Los Keyloggers no tienen un mecanismo C2 particular. Esto significa que podría funcionar junto con otro componente que puede eliminar el archivo por un atacante.
«Stealth Falcon utiliza herramientas de protección y ofuscación de código comercial, así como versiones modificadas personalizadas adaptadas a los diversos tipos de carga útil», dijo Checkpoint. «Esto hace que la herramienta sea más difícil de revertir la ingeniería y complicar el seguimiento de los cambios técnicos con el tiempo».
La explotación activa de CVE-2025-33053 alienta a la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) a agregarlo a las agencias de vulnerabilidades explotadas (KEV) conocidas y exigir a las agencias de la División Federal de Control de Configuración privada (FCEB) para aplicar la solución antes del 1 de julio de 2025.
«Lo que es particularmente preocupante de este defecto es el uso generalizado de WebDav en entornos empresariales para compartir archivos remotos y colaboración», dice Mike Walters, presidente y cofundador de Action1. «Muchas organizaciones permiten WebDAV para necesidades comerciales legítimas, a menudo sin una comprensión completa de los riesgos de seguridad que implementan».
La vulnerabilidad más grave resuelta por Microsoft es un defecto en la escalada de privilegios en la automatización de potencia (CVE-2025-47966, puntaje CVSS: 9.8) que podría permitir que un atacante aumente los privilegios en la red. Sin embargo, no se necesita acción del cliente para mitigar el error.
Otras vulnerabilidades notables incluyen fallas de privilegio aumentadas en los controladores del sistema de archivos de registro comunes (CVE-2025-32713, puntaje CVSS: 7.8), Windows NetLogon (CVE-2025-33070, puntaje CVSS: 8.1) y clientes SMB de Windows (CVE-2025-33073, puntaje de CVS: 8.8SS SCUENT: 8.8SS SCUENT (CVE-2025-33070, puntaje CVSS: 8.1). Servicio de proxy de Windows KDC (CVE-2025-33071, puntaje CVSS: 8.1).
«En los últimos meses, los conductores de CLFS se han convertido en un enfoque constante tanto para los actores de amenaza como para los investigadores de seguridad debido a la explotación de múltiples operaciones de ransomware», dice el ingeniero de ciberseguridad principal de Immersive.
«Esto se clasifica como un desbordamiento del búfer basado en el montón. Es un tipo de vulnerabilidad de corrupción de memoria. La complejidad del ataque se considera baja, lo que permite la explotación para aumentar los privilegios de los atacantes».
Adam Barnett, ingeniero de software principal de Rapid7, dijo que la explotación de CVE-2025-33071 requiere que los atacantes exploten fallas criptográficas y ganen el estado de la carrera.
«La mala noticia es que Microsoft considera la explotación más probable, independientemente de eso, y es probable que el proxy de KDC en sí mismo esté expuesto a redes no estresadas, ya que ayuda a que los activos de confianza sean más fáciles de acceder sin la necesidad de una conexión TCP directa de una red no confiable de un cliente a un controlador de dominio».
Por último, Microsoft ha implementado un parche para reparar un error de bypass de arranque seguro (CVE-2025-3052, puntaje CVSS: 6.7) descubierto por binarly que permite que se ejecute un software poco confiable.
«Hay una vulnerabilidad en las aplicaciones UEFI firmadas con los certificados UEFI de terceros de Microsoft, que permite a los atacantes evitar las botas seguras de UEFI», dijo Redmond en una alerta. «Los atacantes que explotaron con éxito esta vulnerabilidad podrían evitar un arranque seguro».
En un aviso publicado el martes, el Centro de Coordinación CERT (CERT/CC) descubrió que la vulnerabilidad está enraizada en las aplicaciones integradas de interfaz de firmware extendida (UEFI) DTBIOS y Biosflashshell, que utiliza variables NVRAM especialmente creadas para permitir el arranque seguro de arranque.
«La vulnerabilidad se atribuye al manejo inadecuado de las variables NVRAM de tiempo de ejecución que permiten cualquier primitiva de escritura que pueda modificar estructuras críticas de firmware, incluido el protocolo de arquitectura de seguridad Global 2 utilizado para la validación segura de los arranque», dijo CERT/CC.
«Debido a que las aplicaciones afectadas están firmadas por la Autoridad de Certificado de Microsoft UEFI, esta vulnerabilidad podría ser explotada por cualquier sistema compatible con UEFI, lo que podría permitir que el código sin firmar se ejecute durante el proceso de arranque».
La explotación exitosa de la vulnerabilidad puede permitir que se ejecute código sin firmar o malicioso, incluso antes de que se cargue el sistema operativo, lo que permite a los atacantes resistir reinicios y eliminar el malware persistente que puede deshabilitar el software de seguridad.
Sin embargo, Microsoft no se ve afectado por CVE-2025-4275 (también conocido como Hydroph0BIA). Esto existe otra vulnerabilidad segura de bypass de arranque presente en la aplicación Insyde H2O UEFI que permite la inyección de certificados digitales a través de variables NVRAM no seguras («SecureflashCertData») y se registra con la estación.
«Este problema surge del uso inseguro de las variables NVRAM, que se utiliza como almacenamiento de confianza para certificados digitales en la cadena de verificación de confianza», dijo CERT/CC. «Los atacantes pueden almacenar sus propios certificados en esta variable y luego ejecutar cualquier firmware (firmado con el certificado inyectado) durante el proceso de arranque temprano dentro del entorno UEFI».
Source link
