67 Schwachstellen im Juni-Patchday geschlossen : Zero-Day in Microsoft WebDAV aktiv ausgenutzt

Mit dem aktuellen Patchday am 10. Juni 2025 hat Microsoft insgesamt 67 Schwachstellen in seinen Produkten geschlossen – elf davon wurden als kritisch, die übrigen als wichtig eingestuft. Besonders im Fokus steht eine Zero-Day-Lücke in WebDAV (CVE-2025-33053), die bereits für gezielte Cyberangriffe missbraucht wurde. Die Lücke erlaubt Remote-Code-Ausführung über manipulierte URL-Verweise und wurde in einer realen Angriffskampagne gegen eine Organisation im Verteidigungsbereich in der Türkei beobachtet.

WebDAV-Zero-Day (CVE-2025-33053): Aktive Ausnutzung durch Stealth Falcon

Die Schwachstelle CVE-2025-33053 betrifft die WebDAV-Funktionalität, die in vielen Windows-Umgebungen für das internetbasierte Datei- und Inhaltsmanagement genutzt wird. Angreifer können durch eine manipulierte URL erreichen, dass der Browser oder ein anderes Systemprogramm automatisch eine Verbindung zu einem WebDAV-Server herstellt – auf dem sich schädlicher Code befindet.

Laut Microsoft und Check Point wurde diese Lücke aktiv von der APT-GruppeStealth Falcon genutzt, die für ihre präzise ausgerichteten Spionageoperationen im Nahen Osten bekannt ist. Die Angreifer versendeten Phishing-E-Mails mit ZIP-Anhängen, in denen sich Internet-Shortcut-Dateien befanden. Diese Dateien starteten beim Anklicken ein legitimes Diagnosetool von Windows (iediagcmd.exe), das wiederum eine zweite Komponente – den „Horus Loader“ – nachlud.

Horus Agent: Maßgeschneidertes C++-Implantat für Mythic-C2

Der Horus Loader dient als Türöffner für den eigentlichen Schadcode „Horus Agent“. Dabei handelt es sich um ein in C++ geschriebenes, modulares Implantat, das speziell für das Mythic Command-and-Control-Framework entwickelt wurde. Es bietet umfassende Spionagefunktionen:

• System- und Benutzerinformationen auslesen
• Dateien und Verzeichnisse durchsuchen
• Daten vom Command-and-Control-Server abrufen
• Shellcode in bestehende Prozesse injizieren
• Tarnung durch PDF-Köderdokumente

Die Malware nutzt fortgeschrittene Techniken wie String-Verschlüsselung, Control-Flow-Flattening und Obfuskation zur Erschwerung der Analyse. Laut Check Point handelt es sich bei „Horus“ um eine Weiterentwicklung des ebenfalls von Stealth Falcon eingesetzten Apollo-Implantats, das zuvor in .NET entwickelt wurde.

Gezielte Angriffe statt Massenkampagnen

Nach Auffassung von Check Point handelt es sich bei der beobachteten Kampagne nicht um einen breit gestreuten Angriff, sondern um eine fokussierte Aktion gegen ausgewählte Ziele. Dies deutet auf eine klassische Advanced-Persistent-Threat-Strategie hin: leise eindringen, Informationen sammeln, und über einen längeren Zeitraum unbemerkt im System bleiben. Die Infrastruktur der Angreifer wurde durch den Einsatz mehrerer bisher nicht dokumentierter Werkzeuge ergänzt – darunter ein Keylogger, ein passiver Backdoor-Dienst und ein Credential Dumper für Active-Directory-Daten.

Weitere kritische Schwachstellen im Überblick

Neben dem WebDAV-Zero-Day hat Microsoft auch zahlreiche andere Sicherheitslücken mit hohem Schadenspotenzial geschlossen:

• CVE-2025-47966 (CVSS 9,8): Rechteausweitung in Microsoft Power Automate – ohne erforderliches Zutun des Nutzers.
• CVE-2025-33070 (CVSS 8,1): Elevation-of-Privilege in Windows Netlogon.
• CVE-2025-33071 (CVSS 8,1): Remote-Code-Ausführung ohne Authentifizierung im Windows KDC Proxy Service.
• CVE-2025-33073 (CVSS 8,8): Authentifizierte Remote-Code-Ausführung im Windows SMB Client durch Kerberos-Ticket-Relaying.

Insbesondere die SMB-Schwachstelle (CVE-2025-33073) gilt als besonders gefährlich, da sie SYSTEM-Rechte auf Zielsystemen gewährt, wenn SMB-Signing deaktiviert ist. Die Angriffskette nutzt einen „reflektiven“ Kerberos-Angriff, bei dem ein Windows-Client dazu gebracht wird, sich selbst ein gültiges Ticket mit SYSTEM-Rechten auszustellen.

UEFI-Sicherheitslücken ermöglichen Secure Boot Bypass

Ein weiterer kritischer Punkt betrifft die Firmware-Sicherheit: Mit CVE-2025-3052 wurde eine Secure-Boot-Bypass-Lücke geschlossen, die auf signierte UEFI-Komponenten von DT Research zurückgeht. CERT/CC warnt, dass Angreifer durch speziell präparierte NVRAM-Variablen unsignierten Code ausführen könnten – noch bevor das Betriebssystem startet. Damit besteht die Gefahr, dass persistente Rootkits oder Firmware-basierte Backdoors im System verankert werden, die klassische Sicherheitslösungen umgehen.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2025-33053 in den Katalog bekannter, aktiv ausgenutzter Schwachstellen aufgenommen. Bundesbehörden sind verpflichtet, bis spätestens 1. Juli 2025 entsprechende Patches einzuspielen. Unternehmen in Europa sollten diese Frist ebenfalls als verbindlichen Richtwert betrachten, da die Lücke ein sehr hohes Risiko für gezielte Angriffe birgt.

Empfehlungen für Unternehmen: Jetzt handeln

Angesichts der dokumentierten Angriffsaktivitäten und der Vielfalt an Schwachstellen ergeben sich klare Handlungsempfehlungen:

• Sicherheitsupdates umgehend einspielen – insbesondere CVE-2025-33053, CVE-2025-33073 und CVE-2025-3052
• WebDAV deaktivieren, sofern nicht unbedingt benötigt
• SMB-Signing aktivieren, um Kerberos-Relay-Angriffe zu verhindern
• Firmware-Integrität regelmäßig prüfen (Secure Boot, UEFI-Zertifikate)
• Phishing-Awareness-Trainings intensivieren, da initiale Angriffe meist über Social Engineering erfolgen

Ein Patchday, der den Ernst der Lage unterstreicht

Der Juni-Patchday 2025 zeigt einmal mehr, wie eng technische Schwachstellen, menschliche Angriffsvektoren und komplexe APT-Strategien miteinander verwoben sind. Die Angriffe auf WebDAV verdeutlichen, wie schnell legitime Windows-Komponenten in perfide Angriffsketten eingebunden werden können – oft über simple Maßnahmen wie den Klick auf eine manipulierte Datei.

Organisationen sind gut beraten, Patch-Management nicht nur als Routineaufgabe zu sehen, sondern als integralen Bestandteil ihrer Cyberresilienz-Strategie. Denn wer heute schnell patcht, verhindert morgen den Einbruch.