Windows contiene una vulnerabilidad zero-day crítica en la forma en que ciertos binarios firmados manejan el parámetro WorkingDirectory cuando se ejecutan a través de archivos de acceso directo .url. En particular, Windows permite que los archivos de acceso directo establezcan un directorio de trabajo que apunta a un servidor WebDAV controlado por un atacante, el cual puede alojar ejecutables maliciosos con el mismo nombre que utilidades legítimas de Windows.

Esta falla de diseño permite a los atacantes inducir a procesos legítimos de Windows a cargar y ejecutar código remoto y malicioso, sin escribir nada en el disco, lo que conduce a una ejecución remota de código (RCE) sigilosa y sin requerir autenticación por parte del usuario.

Fecha

2025-06-16 16:44:05

Resumen técnico

Componente vulnerable: La vulnerabilidad reside en el servicio cliente WebDAV de Windows, en combinación con la forma en que los binarios firmados de Windows (como iediagcmd.exe, una herramienta de diagnóstico) resuelven sus dependencias a través del campo WorkingDirectory en los archivos .url.

Vector de ataque: Un atacante crea un archivo .url que:

• Usa una ruta válida de un binario legítimo en el campo URL (ej. apuntando a iediagcmd.exe)
• Establece el campo WorkingDirectory en un recurso compartido WebDAV remoto bajo el control del atacante

Cuando el usuario abre este acceso directo, Windows lanza el binario confiable pero busca las dependencias, como route.exe, en la carpeta WebDAV especificada. Si el atacante aloja una versión maliciosa de route.exe en ese directorio, esta se carga y ejecuta en lugar de la del sistema.

Binario firmado + directorio de trabajo malicioso = RCE: Esta combinación de ejecución de código confiable con resolución de ruta controlada por un atacante constituye un potente vector de RCE. El ejecutable malicioso hereda los permisos del binario firmado lanzado, lo que a menudo resulta en la compromisión completa del nivel de usuario.

Ataque no autenticado: No se requiere ninguna autenticación previa. Un atacante puede distribuir el acceso directo mediante correos de spear-phishing o descargas web comprometidas. Una vez abierto, el payload se ejecuta inmediatamente en la red a través de WebDAV, sin dejar rastro en el disco, lo que hace que la detección sea extremadamente difícil.

Explotación in-the-wild: Investigadores de seguridad y Microsoft han confirmado que grupos APT (en particular Stealth Falcon/FruityArmor) han utilizado activamente esta vulnerabilidad desde marzo de 2025. Los atacantes han usado este vector para distribuir HorusLoader, que descargaba implantes cifrados (Horus Agent) para operaciones de espionaje, incluyendo el registro de teclas, volcado de credenciales y exfiltración de datos.

Recomendaciones

1. Instalar los parches de junio de 2025: Microsoft corrigió CVE‑2025‑33053 el 11 de junio de 2025 como parte del Patch Tuesday. Aplique las actualizaciones a todos los sistemas afectados, incluidos los sistemas legacy (ej. Windows Server 2012), ya que la vulnerabilidad está siendo explotada activamente.

2. Deshabilitar WebDAV si no se utiliza: Considere la desactivación del cliente WebDAV a través de las características de Windows o las directivas de grupo, si no es necesario. Esto interrumpe completamente la cadena de ataque.

3. Limitar el acceso a Internet para la ejecución de archivos .url: Bloquee o limite la ejecución de archivos .url recibidos de fuentes no confiables, especialmente si hacen referencia a directorios de trabajo externos. Monitoree también los archivos .url que apuntan a URL WebDAV (ej. \\attacker.com\webdav\).

4. Reforzar el uso de LOLBins: Prevenga o monitoree el uso de binarios firmados de Windows de alto riesgo (ej. iediagcmd.exe, mshta.exe, wscript.exe) mediante AppLocker o las reglas de Attack Surface Reduction (ASR) de Defender, ya que a menudo se utilizan en ataques de tipo living-off-the-land.

[Callforaction-THREAT-Footer]