Windows contiene una vulnerabilità zero-day critica nel modo in cui alcuni binari firmati gestiscono il parametro WorkingDirectory quando vengono lanciati tramite file di collegamento .url. In particolare, Windows consente ai file di collegamento di impostare una directory di lavoro che punta a un server WebDAV controllato da un attaccante, che può ospitare eseguibili dannosi con lo stesso nome di utility legittime di Windows.
Questa falla progettuale permette agli attaccanti di indurre processi legittimi di Windows a caricare ed eseguire codice remoto e dannoso, senza scrivere nulla su disco, portando a un’esecuzione di codice remoto (RCE) furtiva e senza richiedere autenticazione da parte dell’utente.
| Data | 2025-06-16 16:44:05 |
Riassunto tecnico
Componente vulnerabile: La vulnerabilità risiede nel servizio client WebDAV di Windows, in combinazione con il modo in cui i binari firmati di Windows (come iediagcmd.exe, uno strumento di diagnostica) risolvono le loro dipendenze tramite il campo WorkingDirectory nei file .url.
Vettore d’attacco: Un attaccante crea un file .url che:
- Usa un percorso valido di un binario legittimo nel campo URL (es. puntando a
iediagcmd.exe) - Imposta il campo WorkingDirectory su una condivisione WebDAV remota sotto il controllo dell’attaccante
Quando l’utente apre questo collegamento, Windows lancia il binario affidabile ma cerca le dipendenze, come route.exe, nella cartella WebDAV specificata. Se l’attaccante ospita una versione dannosa di route.exe in quella directory, questa viene caricata ed eseguita al posto di quella del sistema.
Binario firmato + directory di lavoro dannosa = RCE: Questa combinazione di esecuzione di codice affidabile con risoluzione del percorso controllata da un attaccante costituisce un potente vettore di RCE. L’eseguibile dannoso eredita i permessi del binario firmato lanciato, risultando spesso nella compromissione completa del livello utente.
Attacco non autenticato: Non è necessaria alcuna autenticazione preventiva. Un attaccante può distribuire il collegamento tramite email di spear-phishing o download web compromessi. Una volta aperto, il payload viene eseguito immediatamente in rete tramite WebDAV, senza footprint su disco, rendendo la rilevazione estremamente difficile.
Sfruttamento in-the-wild: Ricercatori di sicurezza e Microsoft hanno confermato che gruppi APT (in particolare Stealth Falcon/FruityArmor) hanno utilizzato attivamente questa vulnerabilità già da marzo 2025. Gli attaccanti hanno usato questo vettore per distribuire HorusLoader, che scaricava impianti cifrati (Horus Agent) per operazioni di spionaggio, inclusa la registrazione di tasti, dumping di credenziali e esfiltrazione di dati.
Raccomandazioni
-
Installare le patch di giugno 2025: Microsoft ha corretto CVE‑2025‑33053 l’11 giugno 2025 come parte del Patch Tuesday. Applicare gli aggiornamenti a tutti i sistemi interessati, inclusi quelli legacy (es. Windows Server 2012), poiché la vulnerabilità è attivamente sfruttata.
-
Disabilitare WebDAV se non utilizzato: Considerare la disattivazione del client WebDAV tramite le funzionalità di Windows o i criteri di gruppo, se non necessario. Questo interrompe completamente la catena d’attacco.
-
Limitare l’accesso a Internet per l’esecuzione di file .url: Bloccare o limitare l’esecuzione di file
.urlricevuti da fonti non attendibili, specialmente se fanno riferimento a directory di lavoro esterne. Monitorare anche file.urlche puntano a URL WebDAV (es.\\attacker.com\webdav\). -
Rafforzare l’uso dei LOLBins: Prevenire o monitorare l’uso di binari firmati Windows ad alto rischio (es.
iediagcmd.exe,mshta.exe,wscript.exe) tramite AppLocker o le regole Attack Surface Reduction (ASR) di Defender, poiché spesso vengono usati in attacchi di tipo living-off-the-land.