“WebDAV Zero Day” afecta a todas las versiones de Windows: Peligros del CVE-2025-33053 y medidas inmediatas a tomar 【Guía completa】

1. Introducción

El 10 de junio de 2025 (en la madrugada del 11 de junio, hora de Japón), Microsoft lanzó su parche mensual que corrige 66 vulnerabilidades. La única que fue específicamente marcada como "confirmada en explotación" es la de WebDAV, CVE-2025-33053.techtarget.combleepingcomputer.com

WebDAV es una extensión de HTTP que se ha utilizado durante mucho tiempo para compartir archivos y en software de colaboración, y en años recientes se ha incorporado en productos de almacenamiento en la nube y de respaldo, funcionando todavía en muchos sistemas empresariales. En este artículo, se explican de manera exhaustiva los detalles técnicos de la vulnerabilidad y las medidas prácticas para abordarla.

2. ¿Qué es WebDAV? — Historia y usos

WebDAV (RFC 4918) es un protocolo que extiende HTTP para permitir la gestión remota de archivos en servidores web. Fue propuesto a finales de la década de 1990 y también se adoptó como un medio de acceso a buzones de correo en versiones anteriores a Exchange Server 2003. Actualmente,

• compartición de archivos en entornos locales/nube

• gestión de versiones en sistemas de gestión documental (DMS)

• repositorios en dispositivos de respaldo

• sincronización de datos en aplicaciones móviles
  , sigue siendo utilizado en una variedad de aplicaciones.securitybrief.co.nz
  
  
  
  
  

3. Resumen de la vulnerabilidad CVE-2025-33053

Este defecto se debe a la manipulación del directorio de trabajo de WebDAV, permitiendo al atacante cargar archivos ejecutables maliciosos desde un servidor remoto al dispositivo afectado.research.checkpoint.com
El usuario solo necesita abrir un acceso directo que invoque herramientas de diagnóstico legítimas como iediagcmd.exe para infectarse, y la cadena de intrusión progresa en segundo plano.

4. Cadena de ataque y caso "Stealth Falcon"

Check Point Research analizó un ataque de phishing en marzo de 2025 dirigido a una empresa de defensa en Turquía y descubrió un Horus Loader desconocido que explota esta vulnerabilidad. El flujo del ataque es el siguiente:research.checkpoint.com

1. .url archivo adjunto a un correo electrónico de spear phishing

2. Al abrir la URL, WorkingDirectory se cambia al servidor WebDAV del atacante

3. Una herramienta legítima ejecuta el falso route.exe en el mismo servidor

4. Horus Loader decodifica en múltiples etapas para inyectar Horus Agent en el proceso de Edge

5. Horus Agent se comunica con el C2 para robar información y desplegar cargas adicionales
   
   
   

Se informa que Stealth Falcon es un APT que ha estado monitoreando continuamente a agencias gubernamentales en el Medio Oriente y África del Norte, con un largo historial de compra de día cero y uso de malware propio.

5. Productos y versiones afectados

• Cliente de Windows: Windows 10 22H2, Windows 11 23H2 y todas las versiones compatibles

• Servidor de Windows: Server 2016/2019/2022/2025

• IIS (con extensión WebDAV habilitada)

• Apache mod_dav / módulos Nginx WebDAV / SabreDAV y otras bibliotecas de implementación de protocolos

• Almacenamiento en la nube: Nextcloud, ownCloud y otros servicios que ofrecen API WebDAV
  Todos estos están enumerados como objetivos de actualizaciones de MSRC, o como "posiblemente afectados" en el catálogo KEV de CISA.cisa.govcrowdstrike.com
  
  
  
  
  

6. Situación de explotación y antecedentes del día cero

Según el análisis de TechTarget y BleepingComputer, CVE-2025-33053 ha sido explotado en la práctica antes de la publicación del parche, y el hecho de que la carga útil se ejecute con un solo clic ha elevado su clasificación de "importante" a "prácticamente crítica".techtarget.combleepingcomputer.com
La última vez que Microsoft publicó un zero-day relacionado con WebDAV fue en 2018, marcando un resurgimiento después de aproximadamente 7 años.securitybrief.co.nz

7. Contenido del parche de Microsoft y procedimiento de aplicación

• Windows Update/WSUS/MECM: Incluido en la actualización acumulativa de 2025-06 (KB5060999, etc.)

• Ruta de parches solo de seguridad (Server 2012 R2 ESU, etc.): Se requieren tanto la actualización del SO como el parche de IE (MSHTML)

• Requisitos de reinicio: Se requiere reiniciar el sistema después de aplicar el parche
  La confirmación de la aplicación se realiza verificando el número KB con winver y wmic qfe list. Dado que la configuración de inicio automático del servicio WebClient puede revertirse antes y después de aplicar el parche, es seguro fijarlo mediante políticas en entornos donde ya se ha detenido manualmente.techtarget.comrapid7.com
  
  
  
  
  

8. Medidas de emergencia que se pueden tomar de inmediato

1. Detener el servicio WebClient

   powershell
   Copiar
   Stop-Service -Name WebClient
   Set-Service  -Name WebClient -StartupType Disabled
   

   Esto deshabilitará las llamadas WebDAV en formato URL.rapid7.com
   
   

2. Deshabilitar módulos WebDAV innecesarios en IIS/Apache/Nginx
   
   

3. Bloquear archivos adjuntos .url en la pasarela SMTP
   
   

4. Monitorear la ejecución de LOLBin como zedocmd.exe, iediagcmd.exe con EDR
   
   

5. Prohibir montajes WebDAV externos mediante políticas de grupo
   
   

6. Caza de Indicadores de Compromiso (IOC)

   • Registro de acceso a la ruta WebDAV \\<domain>@ssl@443/DavWWWRoot\*

   • Firma de Code Virtualizer de Horus Loader (sin serie)
     
     
     
     
     

9. Puntos de mejora de seguridad requeridos a medio y largo plazo

• Inventario de protocolos: Eliminar la dependencia de WebDAV heredado y migrar a alternativas modernas como SMB sobre HTTPS o API S3

• Aplicación estricta del principio de mínimo privilegio: Ubicar servidores de archivos compartidos en redes aisladas y unificar la autenticación a OAuth2/OpenID Connect

• Microservicios: Envolver funciones compartidas en una pasarela para evitar exposición directa a servicios individuales

• Acortar el ciclo de vida de gestión de vulnerabilidades: Detectar y corregir dispositivos sin parchear en 48 h mediante SBOM y escaneo continuo

• Ejercicios de seguridad: Incorporar escenarios de compromiso de la cadena de suministro a través de WebDAV en el equipo DevSecOps para verificar la capacidad de respuesta

• Compartición automática de IoC: Propagación en tiempo real de hashes de Horus Agent y listas C2 dentro y fuera de la organización mediante MISP/TAXII
  
  
  
  
  

10. Conclusión y perspectivas futuras

CVE-2025-33053 ha demostrado una vez más que "incluso los protocolos antiguos pueden ser vulnerables a día cero". Incluso las empresas que no usan WebDAV directamente pueden tener almacenamiento en la nube o dispositivos de respaldo que lo utilizan en segundo plano. Además de aplicar los parches de Microsoft, es esencial implementar defensas inmediatas como la suspensión de servicios y la monitorización de registros, y a largo plazo, es crucial eliminar los protocolos heredados y migrar hacia un enfoque de confianza cero. Dada la amplitud del impacto, se espera la publicación de código PoC y la aparición de ataques variantes, por lo que es importante seguir vigilando la información oficial y la inteligencia de amenazas.golem.debleepingcomputer.com

Lista de artículos de referencia

• Golem.de「Nutzer gefährdet: WebDAV-Lücke in Windows wird aktiv ausgenutzt」（2025-06-10）golem.de

• TechTarget「June Patch Tuesday resolves Windows zero-day」（2025-06-10）techtarget.com

• Check Point Research「CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage」（2025-06-10）research.checkpoint.com

• BleepingComputer「Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws」（2025-06-10）bleepingcomputer.com

• CISA「Known Exploited Vulnerabilities Catalog – CVE-2025-33053」（2025-06-10）cisa.gov

• Rapid7 Blog「Patch Tuesday – June 2025」（2025-06-10）rapid7.com

• Tenable Blog「Microsoft’s June 2025 Patch Tuesday addresses 65 CVEs」（2025-06-10）tenable.com##