“WebDAV零日漏洞”影响所有Windows系统——CVE-2025-33053的危险性及立即采取的对策【彻底解说】

1. 引言

2025年6月10日（日本时间11日凌晨），微软发布了修复66个漏洞的月度补丁。其中唯一标明“确认被利用”的是WebDAV的CVE-2025-33053。techtarget.combleepingcomputer.com

WebDAV自古以来就是用于文件共享和群件的HTTP扩展功能，但近年来也被集成到云存储和备份产品中，仍然在许多企业系统中运行。本文将全面解说从漏洞的技术细节到实际对策。

2. 什么是WebDAV —— 历史与用途

WebDAV（RFC 4918）是一种扩展HTTP的协议，能够远程管理Web服务器上的文件。它在1990年代后期被提出，并被采用为Exchange Server 2003之前的邮箱访问手段。目前

• 本地/云文件共享

• DMS（文档管理系统）的版本管理

• 备份设备的存储库

• 移动应用的数据同步
  等多种用途中继续存在。securitybrief.co.nz
  
  
  
  
  

3. 漏洞 CVE-2025-33053 概要

此缺陷源于 WebDAV 的工作目录操作，攻击者可以让受害终端加载远程服务器上的恶意可执行文件。research.checkpoint.com
用户只需打开调用正规诊断工具 iediagcmd.exe 等的快捷方式，即可感染，入侵链在后台进行。

4. 攻击链与「Stealth Falcon」案例

Check Point Research 于 2025 年3 月解析了对土耳其防卫企业的网络钓鱼攻击，发现了利用此漏洞的未知 Horus Loader。攻击流程如下：research.checkpoint.com

1. .url 文件附加的鱼叉式网络钓鱼邮件发送

2. 打开 URL 时，WorkingDirectory 被更改为攻击者的 WebDAV 服务器

3. 合法工具在同一服务器上执行伪装的 route.exe

4. Horus Loader 通过多层解码将 Horus Agent 注入到 Edge 进程中

5. Horus Agent 与 C2 通信，窃取信息并展开额外的有效载荷
   
   
   

Stealth Falcon 是一个长期监视中东和北非政府机构的 APT，据报道其长期购买零日漏洞并使用自制恶意软件。

5. 受影响的产品和版本

• Windows 客户端：Windows 10 22H2、Windows 11 23H2 等所有支持的版本

• Windows Server：Server 2016/2019/2022/2025

• IIS（启用 WebDAV 扩展）

• Apache mod_dav / Nginx WebDAV 模块 / SabreDAV 等协议实现库

• 云存储：Nextcloud、ownCloud 等 WebDAV API 提供服务
  这些都被列为 MSRC 更新程序的目标，或在 CISA 的 KEV 目录中列为“可能受影响”。cisa.govcrowdstrike.com
  
  
  
  
  

6. 利用情况和零日漏洞的背景

根据 TechTarget 和 BleepingComputer 的分析，CVE-2025-33053 在 补丁发布前已被实际利用，由于只需点击一次即可运行有效载荷，这一特性将其评估标准从“重要”实质性地提升为“相当于关键”。techtarget.combleepingcomputer.com
Microsoft 最后一次公开 WebDAV 相关的零日漏洞是在 2018 年，这是时隔约 7 年的再次出现。securitybrief.co.nz

7. Microsoft 的补丁内容和应用步骤

• Windows Update／WSUS／MECM：包含在 2025-06 累积更新程序（KB5060999 等）中

• 专用安全补丁路线（Server 2012 R2 ESU 等）：操作系统更新＋IE（MSHTML）补丁两者都必需

• 重启要求：应用补丁后需要重新启动系统
  应用确认通过 winver 和 wmic qfe list 确认 KB 号码。在应用补丁前后，WebClient 服务的自动启动设置可能会恢复，因此对于已经手动停止的环境，建议通过策略固定以确保安全。techtarget.comrapid7.com
  
  
  
  
  

8. 立即可行的紧急规避措施

1. 停止 WebClient 服务

   powershell
   复制
   Stop-Service -Name WebClient
   Set-Service  -Name WebClient -StartupType Disabled
   

   通过此操作可以禁用 URL 格式的 WebDAV 调用。rapid7.com
   
   

2. 在 IIS/Apache/Nginx 上禁用不必要的 WebDAV 模块
   
   

3. 在 SMTP 网关上阻止 .url 附件
   
   

4. 通过 EDR 监控 zedocmd.exe, iediagcmd.exe 等 LOLBin 执行
   
   

5. 通过组策略禁止外部 WebDAV 挂载
   
   

6. 侵害指标（IOC）狩猎

   • 访问 WebDAV 路径 \\<domain>@ssl@443/DavWWWRoot\* 的日志

   • Horus Loader 的 Code Virtualizer 签名（无序列号）
     
     
     
     
     

9. 中长期所需的安全增强点

• 协议清理：消除对传统 WebDAV 的依赖，转向 SMB over HTTPS 或 S3 API 等现代替代方案

• 彻底贯彻最小权限原则：将文件共享服务器放置在隔离网络中，并统一认证为 OAuth2/OpenID Connect

• 微服务化：通过网关包装共享功能，避免直接暴露给单个服务

• 缩短漏洞管理生命周期：通过 SBOM 和持续扫描在 48 小时内检测和修复未打补丁的设备

• 安全演练：在 DevSecOps 团队中整合通过 WebDAV 的供应链攻击场景，以验证应对能力

• IoC 自动共享：通过 MISP/TAXII 实时传播 Horus Agent 哈希和 C2 列表到组织内外
  
  
  
  
  

10. 总结与未来展望

CVE-2025-33053 再次表明“旧协议也可能发生零日漏洞”。即使是不直接使用 WebDAV 的企业，其云存储或备份设备可能在后台使用。除了应用微软的补丁外，还应立即实施服务停用和日志监控等即时防御，从长远来看，废除传统协议并向零信任过渡是必不可少的。由于影响范围广，预计 PoC 代码的公开和变种攻击的出现，因此请继续关注官方信息和威胁情报。golem.debleepingcomputer.com

参考文章列表

• Golem.de「Nutzer gefährdet: WebDAV-Lücke in Windows wird aktiv ausgenutzt」（2025-06-10）golem.de

• TechTarget「June Patch Tuesday resolves Windows zero-day」（2025-06-10）techtarget.com

• Check Point Research「CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage」（2025-06-10）research.checkpoint.com

• BleepingComputer「Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws」（2025-06-10）bleepingcomputer.com

• CISA「Known Exploited Vulnerabilities Catalog – CVE-2025-33053」（2025-06-10）cisa.gov

• Rapid7 Blog「Patch Tuesday – June 2025」（2025-06-10）rapid7.com

• Tenable Blog「Microsoft’s June 2025 Patch Tuesday addresses 65 CVEs」（2025-06-10）tenable.com##