Microsoft corrige 67 vulnerabilidades, incluindo zero-day no WebDAV

A Microsoft anunciou a correção de 67 vulnerabilidades de segurança em sua mais recente atualização de patches, destacando uma falha de dia zero no protocolo Web Distributed Authoring and Versioning (WebDAV), identificada como CVE-2025-33053, que está sendo ativamente explorada por hackers em ataques internacionais. Essa vulnerabilidade, com pontuação CVSS de 8,8, permite a execução remota de código ao induzir usuários a clicar em URLs maliciosas, representando um risco significativo para sistemas corporativos que utilizam o WebDAV para compartilhamento de arquivos.

Das vulnerabilidades corrigidas, 11 foram classificadas como Críticas e 56 como Importantes, abrangendo 26 falhas de execução remota de código, 17 de divulgação de informações e 14 de escalonamento de privilégios. Além disso, a Microsoft aplicou correções a 13 deficiências no navegador Edge baseado em Chromium desde a última atualização Patch Tuesday. A falha no WebDAV, descoberta pelos pesquisadores Alexandra Gofman e David Driker, da Check Point, marca a primeira vulnerabilidade de zero-day registrada nesse padrão, amplamente utilizado em ambientes corporativos.

A exploração da CVE-2025-33053 foi atribuída ao grupo hacker Stealth Falcon, também conhecido como FruityArmor, que tem histórico de ataques sofisticados, incluindo o uso de backdoors como o Deadglyph em campanhas de espionagem no Catar e na Arábia Saudita.

Segundo a Check Point, o ataque mais recente envolveu um arquivo .url que explorava a vulnerabilidade para executar malware a partir de um servidor WebDAV controlado pelos invasores. Na Turquia, uma empresa de defesa foi alvo de um ataque de phishing que utilizou essa falha para implantar o Horus Agent, um implante personalizado baseado na estrutura de comando e controle Mythic, projetado para coletar informações, injetar shellcode e realizar outras ações maliciosas.

O Horus Agent, uma evolução do implante Apollo usado pelo Stealth Falcon entre 2022 e 2023, foi reescrito em C++ com técnicas avançadas, como criptografia de strings e ofuscação de fluxo de controle, dificultando a análise. Além disso, os hackers empregaram ferramentas inéditas, incluindo um Credential Dumper para roubar credenciais do Active Directory, um backdoor passivo que executa payloads de shellcode e um keylogger que registra teclas digitadas, armazenando-as em arquivos temporários.

A gravidade da CVE-2025-33053 levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a incluí-la no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que agências federais apliquem as correções até 1º de julho de 2025. Mike Walters, presidente da Action1, destacou que o uso disseminado do WebDAV em empresas aumenta os riscos, especialmente devido à falta de compreensão sobre suas vulnerabilidades. “Muitas organizações ativam o WebDAV para colaboração remota sem avaliar os perigos”, afirmou.

Outras vulnerabilidades críticas corrigidas incluem uma falha de escalonamento de privilégios no Power Automate (CVE-2025-47966, CVSS: 9,8), que não exige ação direta do usuário para mitigação, e falhas no Common Log File System Driver (CVE-2025-32713, CVSS: 7,8), Windows Netlogon (CVE-2025-33070, CVSS: 8,1) e Windows SMB Client (CVE-2025-33073, CVSS: 8,8). Esta última, publicamente conhecida, permite execução remota de comandos com privilégios de sistema em máquinas que não impõem assinatura SMB, utilizando ataques de retransmissão Kerberos.

A Microsoft também abordou uma vulnerabilidade de bypass de inicialização segura (CVE-2025-3052, CVSS: 6,7) em aplicativos UEFI da DT Research, que poderia permitir a execução de código não assinado antes do carregamento do sistema operacional. Embora a falha Hydroph0bia (CVE-2025-4275) em aplicativos InsydeH2O não afete diretamente a Microsoft, ela destaca a fragilidade de variáveis NVRAM no ambiente UEFI, que podem ser manipuladas para executar firmware malicioso.

Especialistas alertam que a exploração dessas vulnerabilidades reflete a crescente sofisticação dos hackers, que combinam ferramentas comerciais de ofuscação com implantes personalizados. “A complexidade dos ataques, como os que exploram o driver CLFS em operações de ransomware, exige atenção imediata das organizações”, afirmou Ben McCarthy, da Immersive. A Microsoft recomenda que empresas apliquem os patches imediatamente e revisem configurações de segurança, especialmente em sistemas que utilizam WebDAV e serviços expostos a redes não confiáveis.

Via - THN