« WebDAV Zero Day » frappe tous les Windows : le danger du CVE-2025-33053 et les mesures à prendre immédiatement [Explication complète]

1. Introduction

Le 10 juin 2025 (le 11 juin au matin, heure japonaise), Microsoft a publié son patch mensuel corrigeant 66 vulnérabilités. Parmi celles-ci, la seule explicitement marquée comme "exploitée" est la vulnérabilité WebDAV CVE-2025-33053.techtarget.combleepingcomputer.com

WebDAV est une extension HTTP utilisée depuis longtemps pour le partage de fichiers et les logiciels de groupe, mais ces dernières années, elle a été intégrée dans les solutions de stockage cloud et de sauvegarde, et continue de fonctionner dans de nombreux systèmes d'entreprise. Cet article propose une explication exhaustive des détails techniques de la vulnérabilité ainsi que des mesures pratiques à prendre.

2. Qu'est-ce que WebDAV ? ― Histoire et utilisations

WebDAV (RFC 4918) est un protocole qui étend HTTP pour permettre la gestion à distance des fichiers sur un serveur Web. Proposé à la fin des années 1990, il a été utilisé comme moyen d'accès aux boîtes aux lettres avant Exchange Server 2003. Actuellement,

• partage de fichiers sur site/cloud

• gestion des versions dans les systèmes de gestion documentaire (DMS)

• répertoires pour les appliances de sauvegarde

• synchronisation des données pour les applications mobiles
  , il reste utilisé dans divers domaines.securitybrief.co.nz
  
  
  
  
  

3. Aperçu de la vulnérabilité CVE-2025-33053

Ce défaut est dû à la manipulation du répertoire de travail de WebDAV, permettant à un attaquant de charger des fichiers exécutables malveillants depuis un serveur distant vers la machine cible.research.checkpoint.com
L'utilisateur est infecté simplement en ouvrant un raccourci appelant des outils de diagnostic légitimes comme iediagcmd.exe, et la chaîne d'intrusion progresse en arrière-plan.

4. Chaîne d'attaque et cas "Stealth Falcon"

En mars 2025, Check Point Research a analysé une attaque de phishing contre une entreprise de défense turque et a découvert un Horus Loader inconnu exploitant cette vulnérabilité. Le flux d'attaque est le suivant :research.checkpoint.com

1. .url fichier attaché à un e-mail de spear-phishing envoyé

2. En ouvrant l'URL, WorkingDirectory est modifié vers le serveur WebDAV de l'attaquant

3. Un outil légitime exécute le faux route.exe sur le même serveur

4. Horus Loader décode en plusieurs étapes pour injecter Horus Agent dans le processus Edge

5. Horus Agent communique avec le C2 pour voler des informations et déployer des charges utiles supplémentaires
   
   
   

Stealth Falcon est un APT qui a surveillé continuellement les agences gouvernementales au Moyen-Orient et en Afrique du Nord, et il est rapporté qu'il a une longue histoire d'achat de zero-day et d'utilisation de logiciels malveillants faits maison.

5. Produits et versions affectés

• Client Windows : Windows 10 22H2, Windows 11 23H2 et toutes les versions supportées

• Windows Server : Server 2016/2019/2022/2025

• IIS (extension WebDAV activée)

• Modules WebDAV Apache mod_dav / Nginx / SabreDAV et autres bibliothèques d'implémentation de protocoles

• Stockage en nuage : Nextcloud, ownCloud et autres services fournissant une API WebDAV
  Tous ces éléments sont ciblés par les mises à jour MSRC ou listés dans le catalogue KEV de la CISA comme "potentiellement affectés".cisa.govcrowdstrike.com
  
  
  
  
  

6. Situation d'exploitation et historique des zero-day

Selon les analyses de TechTarget et BleepingComputer, CVE-2025-33053 a été exploité dans la nature avant la publication du patch, ce qui a fait passer son niveau d'évaluation de "important" à "critique" en raison de la capacité à exécuter une charge utile en un seul clic.techtarget.combleepingcomputer.com
Microsoft a publié pour la dernière fois une vulnérabilité zero-day liée à WebDAV en 2018, marquant un retour après environ 7 ans.securitybrief.co.nz

7. Détails et procédure d'application des correctifs de Microsoft

• Windows Update/WSUS/MECM : Inclus dans la mise à jour cumulative de 2025-06 (KB5060999, etc.)

• Route des correctifs de sécurité uniquement (Server 2012 R2 ESU, etc.) : Mise à jour de l'OS + correctif IE (MSHTML) tous deux requis

• Exigences de redémarrage : Un redémarrage du système est nécessaire après l'application du correctif
  La vérification de l'application se fait avec winver et wmic qfe list pour confirmer le numéro KB. Il est possible que la configuration de démarrage automatique du service WebClient revienne à son état initial avant et après l'application du correctif, donc il est prudent de le fixer par politique dans les environnements où il a déjà été arrêté manuellement.techtarget.comrapid7.com
  
  
  
  
  

8. Mesures d'urgence immédiates

1. Arrêt du service WebClient

   powershell
   Copier
   Stop-Service -Name WebClient
   Set-Service  -Name WebClient -StartupType Disabled
   

   Cela permet de désactiver les appels WebDAV au format URL.rapid7.com
   
   

2. Désactiver les modules WebDAV inutiles sur IIS/Apache/Nginx
   
   

3. Bloquer les pièces jointes .url sur la passerelle SMTP
   
   

4. Surveiller l'exécution de LOLBin comme zedocmd.exe, iediagcmd.exe avec EDR
   
   

5. Interdire le montage WebDAV externe via la politique de groupe
   
   

6. Chasse aux indicateurs de compromission (IOC)

   • Journal d'accès au chemin WebDAV \\<domain>@ssl@443/DavWWWRoot\*

   • Signature Code Virtualizer de Horus Loader (sans série)
     
     
     
     
     

9. Points de renforcement de la sécurité à moyen et long terme

• Inventaire des protocoles : Éliminer la dépendance au WebDAV hérité et migrer vers des alternatives modernes comme SMB over HTTPS ou l'API S3

• Application stricte du principe du moindre privilège : Placer les serveurs de partage de fichiers dans un réseau isolé et unifier l'authentification avec OAuth2/OpenID Connect

• Microservices : Envelopper les fonctionnalités de partage dans une passerelle pour éviter l'exposition directe aux services individuels

• Réduction du cycle de vie de la gestion des vulnérabilités : Détecter et corriger les appareils non patchés en moins de 48 heures grâce à SBOM et des scans continus

• Exercices de sécurité : Intégrer des scénarios de compromission de la chaîne d'approvisionnement via WebDAV pour tester la capacité de réponse des équipes DevSecOps

• Partage automatique des IoC : Propagation en temps réel des hachages d'agent Horus et des listes C2 au sein et en dehors de l'organisation via MISP/TAXII
  
  
  
  
  

10. Conclusion et perspectives futures

CVE-2025-33053 a démontré une fois de plus que "les zero-day peuvent également survenir avec d'anciens protocoles". Même les entreprises qui n'utilisent pas directement WebDAV peuvent le voir utilisé en arrière-plan par des solutions de stockage cloud ou des appareils de sauvegarde. En plus de l'application des correctifs de Microsoft, il est essentiel de mettre en œuvre immédiatement des défenses efficaces telles que l'arrêt des services et la surveillance des journaux, et à long terme, d'éliminer les protocoles hérités et de passer à un modèle Zero Trust. En raison de l'étendue de l'impact, la publication de code PoC et l'apparition d'attaques variantes sont également attendues, il est donc crucial de continuer à surveiller les informations officielles et le renseignement sur les menaces.golem.debleepingcomputer.com

Liste des articles de référence

• Golem.de「Nutzer gefährdet: WebDAV-Lücke in Windows wird aktiv ausgenutzt」（2025-06-10）golem.de

• TechTarget「June Patch Tuesday resolves Windows zero-day」（2025-06-10）techtarget.com

• Check Point Research「CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage」（2025-06-10）research.checkpoint.com

• BleepingComputer「Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws」（2025-06-10）bleepingcomputer.com

• CISA「Known Exploited Vulnerabilities Catalog – CVE-2025-33053」（2025-06-10）cisa.gov

• Rapid7 Blog「Patch Tuesday – June 2025」（2025-06-10）rapid7.com

• Tenable Blog「Microsoft’s June 2025 Patch Tuesday addresses 65 CVEs」（2025-06-10）tenable.com##