Microsoft ha lanzado parches para corregir 67 fallos de seguridad , incluido un error de día cero en Web Distributed Authoring and Versioning (WebDAV) que, según dice, ha sido objeto de explotación activa.

De las 67 vulnerabilidades, 11 se consideran críticas y 56 importantes. Esto incluye 26 fallos de ejecución remota de código, 17 fallos de divulgación de información y 14 fallos de escalada de privilegios.

Los parches se suman a 13 deficiencias abordadas por la compañía en su navegador Edge basado en Chromium desde el lanzamiento de la actualización Patch Tuesday del mes pasado .

La vulnerabilidad que se ha utilizado como arma en ataques del mundo real se refiere a una ejecución remota de código en WebDAV ( CVE-2025-33053 , puntuación CVSS: 8,8) que se puede activar al engañar a los usuarios para que hagan clic en una URL especialmente diseñada.

El gigante tecnológico atribuyó el descubrimiento y reporte del error a los investigadores de Check Point, Alexandra Gofman y David Driker. Cabe mencionar que CVE-2025-33053 es la primera vulnerabilidad de día cero divulgada en el estándar WebDAV.

En un informe aparte, la empresa de ciberseguridad atribuyó el abuso de CVE-2025-33053 a un actor de amenazas conocido como Stealth Falcon (también conocido como FruityArmor), que tiene un historial de aprovechar vulnerabilidades de día cero de Windows en sus ataques. En septiembre de 2023, se observó que el grupo de hackers utilizaba una puerta trasera denominada Deadglyph como parte de una campaña de espionaje dirigida a entidades en Catar y Arabia Saudita.

Si bien Citizen Lab ha identificado en el pasado las operaciones de Stealth Falcon como probablemente vinculadas a los Emiratos Árabes Unidos, Eli Smadja, gerente del grupo de investigación de Check Point Research, dijo a The Hacker News que «no pueden confirmar ninguna afiliación a ningún país» dado su enfoque en los grupos y sus tácticas.

«La actividad parece estar muy focalizada y afectar a víctimas específicas en lugar de ser generalizada», dijo Smadja sobre la última actividad.

El ataque utilizó un archivo .url que explotó una vulnerabilidad de día cero (CVE-2025-33053) para ejecutar malware desde un servidor WebDAV controlado por un actor, declaró Check Point . La CVE-2025-33053 permite la ejecución remota de código mediante la manipulación del directorio de trabajo.

En la cadena de ataques observada contra una empresa de defensa anónima en Turquía, se dice que el actor de amenazas empleó CVE-2025-33053 para distribuir Horus Agent, un implante personalizado desarrollado para el framework de comando y control (C2) Mythic. Se cree que la carga maliciosa utilizada para iniciar el ataque, un archivo de acceso directo a una URL, se envió como archivo adjunto en un correo electrónico de phishing.

El archivo URL se utiliza para iniciar iediagcmd.exe, una utilidad de diagnóstico legítima para Internet Explorer, y se aprovecha para iniciar otra carga útil llamada Horus Loader, que es responsable de servir un documento PDF señuelo y ejecutar Horus Agent.

«Escrito en C++, el implante no muestra solapamiento significativo con los agentes Mythic conocidos basados ​​en C, salvo por las similitudes en la lógica genérica relacionada con las comunicaciones Mythic C2», declaró Check Point. «Si bien el cargador se asegura de implementar algunas medidas para proteger la carga útil, los actores de amenazas implementaron precauciones adicionales dentro de la propia puerta trasera».

Esto incluye el uso de técnicas como el cifrado de cadenas y el aplanamiento del flujo de control para complicar el análisis. La puerta trasera se conecta a un servidor remoto para obtener tareas que le permiten recopilar información del sistema, enumerar archivos y carpetas, descargar archivos del servidor, inyectar código shell en los procesos en ejecución y cerrar el programa.

Se evalúa que Horus Agent es una evolución del implante Apollo personalizado, un agente .NET de código abierto para el marco Mythic, que fue utilizado previamente por Stealth Falcon entre 2022 y 2023.

«Horus es una versión más avanzada del implante Apollo personalizado de los grupos de amenazas, reescrito en C++, mejorado y refactorizado», afirmó Check Point.

Al igual que la versión Horus, la versión Apollo incorpora amplias capacidades de identificación de víctimas, a la vez que limita el número de comandos compatibles. Esto permite a los actores de amenazas centrarse en la identificación sigilosa de la máquina infectada y la entrega de la carga útil en la siguiente etapa, manteniendo al mismo tiempo el tamaño del implante significativamente menor (solo 120 KB) que el del agente completo.

La compañía dijo que también observó que el actor de amenazas aprovechaba varias herramientas previamente no documentadas, como las siguientes:

Credential Dumper, que se dirige a un controlador de dominio ya comprometido para robar archivos relacionados con las credenciales de Active Directory y del controlador de dominio
Puerta trasera pasiva, que escucha las solicitudes entrantes y ejecuta cargas útiles de shellcode
Keylogger, una herramienta C++ personalizada que registra todas las pulsaciones de teclas y las escribe en un archivo en «C:/windows/temp/~TN%LogName%.tmp»
El keylogger carece notablemente de cualquier mecanismo C2, lo que significa que probablemente funcione junto con otro componente que pueda filtrar el archivo a los atacantes.

«Stealth Falcon emplea herramientas comerciales de ofuscación y protección de código, así como versiones personalizadas y adaptadas a diferentes tipos de carga útil», declaró Check Point. «Esto dificulta la ingeniería inversa de sus herramientas y dificulta el seguimiento de los cambios técnicos a lo largo del tiempo».

La explotación activa de CVE-2025-33053 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) a agregarla al catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), lo que requiere que las agencias de la Rama Ejecutiva Civil Federal (FCEB) apliquen la corrección antes del 1 de julio de 2025.

«Lo que hace que esta falla sea particularmente preocupante es el uso generalizado de WebDAV en entornos empresariales para el intercambio y la colaboración remota de archivos», declaró Mike Walters, presidente y cofundador de Action1 . «Muchas organizaciones habilitan WebDAV para necesidades comerciales legítimas, a menudo sin comprender plenamente los riesgos de seguridad que conlleva».

La vulnerabilidad más grave resuelta por Microsoft es una falla de escalada de privilegios en Power Automate ( CVE-2025-47966 , puntuación CVSS: 9.8) que podría permitir a un atacante elevar privilegios en una red. Sin embargo, no se requiere ninguna acción del cliente para mitigar el error.

Otras vulnerabilidades notables incluyen fallas de elevación de privilegios en Common Log File System Driver ( CVE-2025-32713 , puntuación CVSS: 7.8), Windows Netlogon ( CVE-2025-33070 , puntuación CVSS: 8.1) y Windows SMB Client ( CVE-2025-33073 , puntuación CVSS: 8.8), así como una vulnerabilidad crítica de RCE no autenticada en Windows KDC Proxy Service ( CVE-2025-33071 , puntuación CVSS: 8.1).

«En los últimos meses, el controlador CLFS se ha convertido en un foco constante tanto para actores de amenazas como para investigadores de seguridad debido a su explotación en múltiples operaciones de ransomware», afirmó Ben McCarthy, ingeniero principal de ciberseguridad de Immersive.

Se clasifica como un desbordamiento de búfer basado en el montón, un tipo de vulnerabilidad de corrupción de memoria. La complejidad del ataque se considera baja, y una explotación exitosa permite al atacante escalar privilegios.

CVE-2025-33073 es la única vulnerabilidad que figura como públicamente conocida en el momento del lanzamiento, y se reconoce a CrowdStrike, Synacktiv, SySS GmbH, RedTeam Pentesting y Google Project Zero por informar el error.

«Aunque Microsoft se refiere a CVE-2025-33073 como una elevación de privilegios, en realidad es una ejecución de comando remoto autenticado como SISTEMA en cualquier máquina que no aplique la firma SMB», dijeron los investigadores de Synacktiv, Wilfried Bécard y Guillaume André.

La ruta de explotación requiere que la víctima se conecte a un servidor SMB malicioso controlado por el atacante, lo que en última instancia conduce a una escalada de privilegios mediante un ataque de retransmisión Kerberos reflexivo.

«El principio del ataque consiste en obligar a un host Windows a conectarse a nuestro sistema de ataque mediante SMB y autenticarse mediante Kerberos», explicó RedTeam Pentesting en un análisis técnico. «El ticket de Kerberos se retransmite de nuevo al mismo host mediante SMB. La sesión SMB resultante tenía privilegios NT AUTHORITY\SYSTEM de alto nivel, suficientes para ejecutar comandos arbitrarios.

Adam Barnett, ingeniero de software principal de Rapid7, dijo que la explotación de CVE-2025-33071 requiere que el atacante explote una falla criptográfica y gane una condición de carrera.

«La mala noticia es que Microsoft considera que la explotación es más probable de todos modos, y dado que un proxy KDC facilita el acceso a los recursos confiables a las solicitudes Kerberos de redes no confiables sin necesidad de una conexión TCP directa del cliente al controlador de dominio, la desventaja es que es muy probable que el propio proxy KDC quede expuesto a una red no confiable», agregó Barnett.

Por último, pero no por ello menos importante, Microsoft también ha lanzado parches para remediar un error de omisión de arranque seguro ( CVE-2025-3052 , puntuación CVSS: 6,7) descubierto por Binarly que permite la ejecución de software no confiable.

«Existe una vulnerabilidad en una aplicación UEFI firmada con un certificado UEFI de terceros de Microsoft, que permite a un atacante eludir el Arranque Seguro UEFI», declaró Redmond en una alerta. «Un atacante que aprovechara esta vulnerabilidad podría eludir el Arranque Seguro».

El Centro de Coordinación CERT (CERT/CC), en un aviso publicado el martes, dijo que la vulnerabilidad tiene su raíz en las aplicaciones de Interfaz de Firmware Extensible Unificada (UEFI) DTBios y BiosFlashShell de DT Research, que permiten eludir el Arranque Seguro utilizando una variable NVRAM especialmente diseñada.

«La vulnerabilidad se debe al manejo inadecuado de una variable NVRAM en tiempo de ejecución que habilita una primitiva de escritura arbitraria, capaz de modificar estructuras de firmware críticas, incluido el Protocolo arquitectónico Security2 global utilizado para la verificación de arranque seguro», dijo CERT/CC .

Dado que las aplicaciones afectadas están firmadas por la autoridad de certificación UEFI de Microsoft, esta vulnerabilidad puede explotarse en cualquier sistema compatible con UEFI, lo que permite la ejecución de código no firmado durante el proceso de arranque.

La explotación exitosa de la vulnerabilidad podría permitir la ejecución de código no firmado o malicioso incluso antes de que se cargue el sistema operativo, lo que potencialmente permitiría a los atacantes instalar malware persistente que puede sobrevivir a los reinicios e incluso deshabilitar el software de seguridad.

Sin embargo, Microsoft no se ve afectado por CVE-2025-4275 (también conocida como Hydroph0bia ), otra vulnerabilidad de omisión de arranque seguro presente en una aplicación UEFI InsydeH2O que permite la inyección de certificados digitales a través de una variable NVRAM desprotegida («SecureFlashCertData»), lo que resulta en la ejecución de código arbitrario a nivel de firmware.

Este problema surge del uso inseguro de una variable NVRAM, que se utiliza como almacenamiento de confianza para un certificado digital en la cadena de validación de confianza, declaró CERT/CC . Un atacante puede almacenar su propio certificado en esta variable y posteriormente ejecutar firmware arbitrario (firmado por el certificado inyectado) durante el proceso de arranque inicial en el entorno UEFI.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, entre ellas:

  • Adobe
  • Servicios web de Amazon
  • AMD
  • Brazo
  • Atlassian
  • Automatización directa
  • Bosch
  • Broadcom (incluido VMware)
  • Canon
  • Cisco
  • D-Link
  • Dell
  • Drupal
  • F5
  • Fortinet
  • GitLab
  • Google Android y Pixel
  • Google Chrome
  • Google Cloud
  • Hitachi Energy
  • HP
  • HP Enterprise (incluida Aruba Networking)
  • IBM
  • Intel
  • Dentro
  • Ivanti
  • Jenkins
  • Juniper Networks
  • Lenovo
  • Distribuciones de Linux Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE y Ubuntu
  • MediaTek
  • Mitel
  • Mitsubishi Electric
  • Moxa
  • Mozilla Firefox y Thunderbird
  • NVIDIA
  • Redes de Palo Alto
  • Tecnologías Phoenix
  • QNAP
  • Qualcomm
  • Cubo redondo
  • Fuerza de ventas
  • Samsung
  • SAVIA
  • Schneider Electric
  • Siemens
  • Vientos solares
  • SonicWall
  • Splunk
  • Marco de primavera
  • Sinología
  • Trend Micro Apex Central , Apex One , Endpoint Encryption PolicyServer y WFBS
  • Veritas
  • Zimbra , y
  • Zoho ManageEngine Exchange Reporter Plus y OpManager

Fuente y redacción: thehackernews.com

Compartir