Microsoft waarschuwt voor actief aangevallen RCE-lek in WebDAV

[Captain Kirk]

Microsoft waarschuwt voor een actief aangevallen kwetsbaarheid in WebDAV die remote code execution mogelijk maakt en is met een beveiligingsupdate gekomen om het lek te verhelpen. Volgens securitybedrijf Check Point, dat het probleem ontdekte, is het beveiligingslek ingezet bij een cyberaanval tegen een Turks defensiebedrijf. Web-based Distributed Authoring and Versioning (WebDAV) maakt het mogelijk om bestanden op servers te bekijken en delen.

Bij de aanval werd gebruikgemaakt van een bestand met een dubbele extensie, eindigend op .pdf.url. Het url-bestand wees naar een diagnostische tool van Internet Explorer. De kwetsbaarheid (CVE-2025-33053) waar de aanvallers gebruik van maakten maakt het vervolgens mogelijk om de tool malafide code vanaf een WebDAV-server van de aanvallers te laten laden.

Het doelwit moet wel zelf het malafide url-bestand openen. Om slachtoffers niets te laten vermoeden wordt een 'decoy' document geopend, terwijl in de achtergrond malware wordt uitgevoerd. Zo wordt er een backdoor geplaatst die de aanvallers toegang tot het gecompromitteerde systeem geeft. Daarnaast gebruiken de aanvallers een keylogger voor het onderscheppen van inloggegevens en een 'credential dumper' die Domain Controller-data steelt. Check Point vermoedt dat het malafide url-bestand via een phishingmail naar het doelwit is verstuurd.

 

bron: https://www.security.nl