„WebDAV Zero-Day“ trifft alle Windows-Systeme – Die Gefährlichkeit von CVE-2025-33053 und die sofort zu ergreifenden Maßnahmen [Umfassende Erklärung]

1. Einführung

Am 10. Juni 2025 (in Japan am frühen Morgen des 11. Juni) veröffentlichte Microsoft das monatliche Patch, das 66 Sicherheitslücken behebt. Unter diesen wurde nur eine als „Ausnutzung bestätigt“ gekennzeichnet, nämlich die WebDAV-Sicherheitslücke CVE-2025-33053.techtarget.combleepingcomputer.com

WebDAV ist eine HTTP-Erweiterung, die seit langem für Dateifreigaben und Groupware verwendet wird. In jüngerer Zeit wurde es auch in Cloud-Speicher und Backup-Produkte integriert und läuft weiterhin in vielen Unternehmenssystemen. In diesem Artikel werden wir die technischen Details der Sicherheitslücke bis hin zu praktischen Gegenmaßnahmen umfassend erläutern.

2. Was ist WebDAV? ― Geschichte und Anwendungen

WebDAV (RFC 4918) ist ein Protokoll, das HTTP erweitert und die Fernverwaltung von Dateien auf einem Webserver ermöglicht. Es wurde Ende der 1990er Jahre vorgeschlagen und auch als Mittel zum Zugriff auf Mailboxen vor Exchange Server 2003 eingesetzt. Derzeit wird es in

• On-Premise-/Cloud-Dateifreigaben

• Versionsverwaltung in DMS (Dokumentenmanagementsystemen)

• Repositorys für Backup-Appliances

• Datensynchronisation für mobile Apps
  und vielen weiteren Anwendungen eingesetzt.securitybrief.co.nz
  
  
  
  
  

3. Übersicht über die Schwachstelle CVE-2025-33053

Dieser Defekt resultiert aus der Arbeitsverzeichnisoperation von WebDAV, wodurch Angreifer bösartige ausführbare Dateien auf dem betroffenen Gerät von einem Remote-Server laden können.research.checkpoint.com
Benutzer können infiziert werden, indem sie einfach eine Verknüpfung öffnen, die legitime Diagnosetools wie iediagcmd.exe aufruft, wodurch die Infektionskette im Hintergrund fortschreitet.

4. Angriffskette und Fallbeispiel „Stealth Falcon“

Check Point Research analysierte im März 2025 einen Phishing-Angriff auf ein türkisches Verteidigungsunternehmen und entdeckte den unbekannten Horus Loader, der diese Schwachstelle ausnutzt. Der Angriffsablauf ist wie folgt:research.checkpoint.com

1. .url Datei in einer Spear-Phishing-E-Mail angehängt

2. Beim Öffnen der URL wird WorkingDirectory auf den WebDAV-Server des Angreifers geändert

3. Ein legitimes Tool führt die gefälschte route.exe auf demselben Server aus

4. Horus Loader injiziert Horus Agent in einen Edge-Prozess durch mehrstufiges Dekodieren

5. Horus Agent kommuniziert mit C2, stiehlt Informationen und entfaltet zusätzliche Payloads
   
   
   

Stealth Falcon ist eine APT, die kontinuierlich Regierungsbehörden im Nahen Osten und Nordafrika überwacht hat und dafür bekannt ist, Zero-Day-Exploits zu kaufen und selbst entwickelte Malware zu verwenden.

5. Betroffene Produkte und Versionen

• Windows-Client: Windows 10 22H2, Windows 11 23H2 und alle unterstützten Versionen

• Windows Server: Server 2016/2019/2022/2025

• IIS (WebDAV-Erweiterung aktiviert)

• Apache mod_dav / Nginx WebDAV-Module / SabreDAV und andere Protokollimplementierungsbibliotheken

• Cloud-Speicher: Nextcloud, ownCloud und andere Dienste, die WebDAV-APIs bereitstellen
  Diese sind alle Ziel von MSRC-Updates oder im KEV-Katalog von CISA als „möglicherweise betroffen“ aufgeführt.cisa.govcrowdstrike.com
  
  
  
  
  

6. Ausnutzung und Hintergrund der Zero-Day

Laut Analysen von TechTarget und BleepingComputer wird CVE-2025-33053 bereits vor der Veröffentlichung des Patches ausgenutzt, wobei die Möglichkeit, die Payload mit einem Klick auszuführen, die Bewertung von „wichtig“ auf „kritisch“ erhöht hat.techtarget.combleepingcomputer.com
Microsoft hat zuletzt im Jahr 2018 eine WebDAV-bezogene Zero-Day-Schwachstelle veröffentlicht, was eine Wiederbelebung nach etwa sieben Jahren darstellt.securitybrief.co.nz

7. Inhalt und Anweisungen zur Anwendung des Microsoft-Patches

• Windows Update/WSUS/MECM: Enthalten im kumulativen Update vom Juni 2025 (z.B. KB5060999)

• Sicherheits-Patch-Route (z.B. Server 2012 R2 ESU): Sowohl OS-Update als auch IE (MSHTML)-Patch sind erforderlich

• Neustartanforderung: Ein Neustart des Systems ist nach der Anwendung des Patches erforderlich
  Die Anwendung wird durch Überprüfung der KB-Nummer mit winver und wmic qfe list bestätigt. Da die automatische Startkonfiguration des WebClient-Dienstes vor und nach der Patch-Anwendung zurückgesetzt werden kann, ist es sicher, die manuell gestoppte Umgebung durch eine Richtlinie zu fixieren.techtarget.comrapid7.com
  
  
  
  
  

8. Sofort umsetzbare Notfallmaßnahmen

1. Stoppen des WebClient-Dienstes

   powershell
   Kopieren
   Stop-Service -Name WebClient
   Set-Service  -Name WebClient -StartupType Disabled
   

   Dies deaktiviert WebDAV-Aufrufe im URL-Format.rapid7.com
   
   

2. Deaktivierung unnötiger WebDAV-Module auf IIS/Apache/Nginx
   
   

3. Blockieren von .url-Anhängen im SMTP-Gateway
   
   

4. Überwachung der Ausführung von LOLBins wie zedocmd.exe und iediagcmd.exe mit EDR
   
   

5. Verbot der externen WebDAV-Einbindung durch Gruppenrichtlinien
   
   

6. Suche nach Indikatoren für Kompromittierung (IoC)

   • Zugriffsprotokolle für den WebDAV-Pfad \\<domain>@ssl@443/DavWWWRoot\*

   • Code Virtualizer-Signatur des Horus Loaders (ohne Seriennummer)
     
     
     
     
     

9. Mittelfristige Sicherheitsverbesserungspunkte

• Protokoll-Inventur: Eliminierung der Abhängigkeit von Legacy-WebDAV und Umstellung auf moderne Alternativen wie SMB über HTTPS oder S3 API

• Durchsetzung des Prinzips der minimalen Rechte: Platzierung von Dateifreigabeservern in einem isolierten Netzwerk und Vereinheitlichung der Authentifizierung auf OAuth2/OpenID Connect

• Microservices-Architektur: Umhüllung der Freigabefunktionalität durch ein Gateway, um direkte Exposition gegenüber einzelnen Diensten zu vermeiden

• Verkürzung des Lebenszyklus des Schwachstellenmanagements: Erkennung und Behebung ungepatchter Geräte innerhalb von 48 Stunden durch SBOM und kontinuierliches Scannen

• Sicherheitsübungen: Integration von Szenarien für Lieferkettenkompromittierung über WebDAV in DevSecOps-Teams zur Überprüfung der Reaktionsfähigkeit

• Automatischer IoC-Austausch: Echtzeitverbreitung von Horus Agent-Hashes und C2-Listen innerhalb und außerhalb der Organisation über MISP/TAXII
  
  
  
  
  

10. Zusammenfassung und zukünftige Perspektiven

CVE-2025-33053 hat erneut gezeigt, dass „Zero-Day-Exploits auch bei alten Protokollen auftreten können“. Selbst Unternehmen, die WebDAV nicht direkt nutzen, könnten es im Hintergrund durch Cloud-Speicher oder Backup-Geräte verwenden. Neben der Anwendung von Microsoft-Patches sollten sofortige Verteidigungsmaßnahmen wie Dienstunterbrechung und Protokollüberwachung ergriffen werden. Langfristig ist die Abschaffung von Legacy-Protokollen und der Übergang zu Zero Trust unerlässlich. Angesichts des breiten Wirkungsspektrums sind die Veröffentlichung von PoC-Code und das Auftreten von Variantenangriffen zu erwarten, daher sollten offizielle Informationen und Bedrohungsinformationen weiterhin genau beobachtet werden.golem.debleepingcomputer.com

Liste der Referenzartikel

• Golem.de「Nutzer gefährdet: WebDAV-Lücke in Windows wird aktiv ausgenutzt」（2025-06-10）golem.de

• TechTarget「June Patch Tuesday resolves Windows zero-day」（2025-06-10）techtarget.com

• Check Point Research「CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage」（2025-06-10）research.checkpoint.com

• BleepingComputer「Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws」（2025-06-10）bleepingcomputer.com

• CISA「Known Exploited Vulnerabilities Catalog – CVE-2025-33053」（2025-06-10）cisa.gov

• Rapid7 Blog「Patch Tuesday – June 2025」（2025-06-10）rapid7.com

• Tenable Blog「Microsoft’s June 2025 Patch Tuesday addresses 65 CVEs」（2025-06-10）tenable.com##