CVE-2025-33053: RCE в WebDAV | Блог Касперского

Microsoft закрыла уязвимость CVE-2025-33053 в Web Distributed Authoring and Versioning (WebDAV), позволяющую злоумышленникам удаленно запустить произвольный код на компьютере жертвы.

Июньским вторничным обновлением компания Microsoft среди прочих проблем закрыла CVE-2025-33053, RCE-уязвимость в Web Distributed Authoring and Versioning (WebDAV, расширении протокола HTTP). Microsoft не называет ее критической, однако три факта намекают на то, что установить свежие патчи стоит как можно скорее:

• достаточно высокий рейтинг по шкале CVSS 3.1 — 8,8;
• замечена эксплуатация в реальных атаках;
• Microsoft озаботилась выпуском патчей для ряда устаревших, более не поддерживаемых версий своей операционной системы.

Что за уязвимость CVE-2025-33053 и что такое WebDAV?

В какой-то момент пользователям Интернета потребовался инструмент, позволяющий совместно работать над документами и управлять файлами на удаленных веб-серверах. Для решения этой задачи специальная рабочая группа создала DAV, дополнение к протоколу HTTP. Поддержка нового протокола была реализована в том числе в штатном для Windows браузере Microsoft Internet Explorer.

Казалось бы, в начале 2023 года Internet Explorer был окончательно отключен, однако как мы уже писали, браузер все еще жив. Ряд его механизмов до сих пор используется в сторонних приложениях, да и в новом браузере Microsoft Edge. Поэтому злоумышленники продолжают искать уязвимости, которые можно проэксплуатировать при помощи IE. CVE-2025-33053 — одна из таких. Она позволяет атакующим запустить произвольный код, если жертва кликнет по ссылке и перейдет на контролируемый ими WebDAV-сервер. То есть все что требуется от атакующих — убедить жертву в необходимости перейти по ссылке.

Точный принцип работы эксплойта под эту уязвимость пока публично не раскрыт, однако по информации исследователей, нашедших CVE-2025-33053, эксплуатация происходит за счет манипуляций с рабочей директорией «легитимного инструмента Windows».

Кто и как может использовать CVE-2025-33053?

Исследователи Check Point обнаружили эксплуатацию этой уязвимости в атаках APT группировки Stealth Falcon, работающей в странах Ближнего Востока. Однако очевидно, что после публикации обновления и исследования, другие злоумышленники постараются изучить патч и как можно скорее создать собственные эксплойты. Простота эксплуатации и распространенность уязвимого браузера делает CVE-2025-33053 идеальным кандидатом для использования в качестве механизма доставки зловредов. В первую очередь шифровальщиков-вымогателей.

Как оставаться в безопасности?

Стоит как можно скорее обновить операционную систему, благо Microsoft выпустила патчи даже для устаревших Windows Server 2012 и Windows 8 (найти их можно в описании CVE-2025-33053). Кроме того, мы рекомендуем использовать на всех имеющих выход в Интернет устройствах надежные защитные решения — они способны выявлять как попытки эксплуатации уязвимостей, так и запуск вредоносного кода. Также имеет смысл регулярно повышать осведомленность сотрудников о современных киберугрозах (например, при помощи платформы Kaspersky Automated Security Awareness), ведь большая часть современных кибератак начинается с писем или сообщений от злоумышленников, которые чаще всего используют достаточно стандартные уловки.

11.06.2025