"WebDAV जीरो-डे" सभी Windows को प्रभावित कर रहा है──CVE-2025-33053 का खतरा और तुरंत उठाए जाने वाले कदम【विस्तृत व्याख्या】

"WebDAV जीरो-डे" सभी Windows को प्रभावित कर रहा है──CVE-2025-33053 का खतरा और तुरंत उठाए जाने वाले कदम【विस्तृत व्याख्या】

2025年06月11日 18:07

1. परिचय

2025 के 10 जून (जापान समयानुसार 11 जून की सुबह), माइक्रोसॉफ्ट ने 66 कमजोरियों को ठीक करने के लिए मासिक पैच जारी किया। उनमें से एकमात्र जिसे "दुरुपयोग की पुष्टि" के रूप में स्पष्ट रूप से उल्लेख किया गया था, वह WebDAV का CVE-2025-33053 है।techtarget.combleepingcomputer.com



WebDAV लंबे समय से फ़ाइल साझा करने और समूह सॉफ़्टवेयर में उपयोग किया जाने वाला HTTP विस्तार है, लेकिन हाल के वर्षों में इसे क्लाउड स्टोरेज और बैकअप उत्पादों में भी शामिल किया गया है और यह अभी भी कई कंपनी सिस्टम में सक्रिय है। इस लेख में, हम कमजोरियों के तकनीकी विवरण से लेकर व्यावहारिक उपायों तक व्यापक रूप से समझाएंगे।




2. WebDAV क्या है ― इतिहास और उपयोग

WebDAV (RFC 4918) एक प्रोटोकॉल है जो HTTP का विस्तार करता है और वेब सर्वर पर फ़ाइलों को रिमोटली प्रबंधित करने की अनुमति देता है। इसे 1990 के दशक के अंत में प्रस्तावित किया गया था और Exchange Server 2003 से पहले मेलबॉक्स एक्सेस के साधन के रूप में भी अपनाया गया था। वर्तमान में यह



  • ऑन-प्रिमाइसेस/क्लाउड फ़ाइल साझा करना

  • DMS (दस्तावेज़ प्रबंधन प्रणाली) का संस्करण प्रबंधन

  • बैकअप उपकरणों का रिपॉजिटरी

  • मोबाइल ऐप्स का डेटा सिंक
    जैसे विभिन्न उपयोगों में जीवित है।securitybrief.co.nz




3. भेद्यता CVE-2025-33053 का अवलोकन

आइटमविवरण
CVE नंबरCVE-2025-33053
गंभीरताCVSS 8.8 (महत्वपूर्ण/Important)
प्रकाररिमोट कोड निष्पादन (RCE)
प्रभाव क्षेत्रWindows 10/11, Windows Server 2016 के बाद, WebDAV मॉड्यूल सक्षम किए गए IIS, Apache, Nginx आदि
शर्तेंविशेष रूप से तैयार किया गया WebDAV URL या .url फ़ाइल उपयोगकर्ता द्वारा खोली जाती है
दुरुपयोग की स्थितिAPT "Stealth Falcon" द्वारा लक्षित हमले की पुष्टि
अस्थायी उपायWebClient सेवा बंद करना/WebDAV कार्यक्षमता को हटाना



यह दोष WebDAV के कार्य निर्देशिका संचालन के कारण होता है, जिससे हमलावर दूरस्थ सर्वर पर दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल को पीड़ित टर्मिनल पर लोड कर सकते हैं।research.checkpoint.com
उपयोगकर्ता केवल वैध डायग्नोस्टिक टूल iediagcmd.exe आदि को कॉल करने वाले शॉर्टकट को खोलकर संक्रमित हो सकते हैं, और पृष्ठभूमि में घुसपैठ श्रृंखला आगे बढ़ती है।




4. हमले की श्रृंखला और "Stealth Falcon" का मामला

Check Point Research ने मार्च 2025 में तुर्की की रक्षा कंपनी पर फ़िशिंग हमले का विश्लेषण किया और इस भेद्यता का फायदा उठाने वाले अज्ञात Horus Loader की खोज की। हमले का प्रवाह निम्नलिखित है।research.checkpoint.com


  1. .url फ़ाइल को संलग्न कर स्पीयर फ़िशिंग ईमेल भेजा गया

  2. URL खोलने पर WorkingDirectory को हमलावर के WebDAV सर्वर पर बदल दिया जाता है

  3. वैध उपकरण उसी सर्वर पर नकली route.exe को निष्पादित करता है

  4. Horus Loader कई चरणों में डिकोड कर Horus Agent को Edge प्रक्रिया में इंजेक्ट करता है

  5. Horus Agent C2 के साथ संचार करता है और जानकारी चोरी करता है और अतिरिक्त पेलोड को तैनात करता है


Stealth Falcon एक APT है जो मध्य पूर्व और उत्तरी अफ्रीका की सरकारी एजेंसियों की निरंतर निगरानी करता रहा है, और इसके बारे में बताया गया है कि यह ज़ीरो-डे खरीदता है और स्वयं निर्मित मैलवेयर का उपयोग करता है।




5. प्रभावित उत्पाद और संस्करण

  • Windows क्लाइंट:Windows 10 22H2, Windows 11 23H2 आदि सभी समर्थित संस्करण

  • Windows सर्वर:Server 2016/2019/2022/2025

  • IIS (WebDAV एक्सटेंशन सक्षम)

  • Apache mod_dav / Nginx WebDAV मॉड्यूल / SabreDAV आदि प्रोटोकॉल कार्यान्वयन पुस्तकालय

  • क्लाउड स्टोरेज:Nextcloud, ownCloud आदि WebDAV API प्रदान करने वाली सेवाएं
    ये सभी MSRC के अद्यतन कार्यक्रम के अधीन हैं, या CISA के KEV कैटलॉग में "संभावित रूप से प्रभावित" के रूप में सूचीबद्ध हैं।cisa.govcrowdstrike.com




6. दुरुपयोग की स्थिति और ज़ीरो-डे का इतिहास

TechTarget और BleepingComputer के विश्लेषण के अनुसार, CVE-2025-33053 का पैच जारी होने से पहले ही वास्तविक दुरुपयोग किया जा रहा था, और एक क्लिक से पेलोड चलने की क्षमता ने इसे "महत्वपूर्ण" से "गंभीर" के बराबर कर दिया है।techtarget.combleepingcomputer.com
Microsoft ने आखिरी बार WebDAV संबंधित ज़ीरो-डे को 2018 में प्रकाशित किया था, जो लगभग 7 वर्षों के बाद फिर से उभर आया है।securitybrief.co.nz




7. माइक्रोसॉफ्ट के पैच की सामग्री और लागू करने की प्रक्रिया

  • Windows Update/WSUS/MECM:2025-06 संचयी अद्यतन प्रोग्राम (KB5060999 आदि) में शामिल है

  • सुरक्षा विशेष पैच मार्ग (Server 2012 R2 ESU आदि):OS अद्यतन+IE(MSHTML)पैच दोनों आवश्यक हैं

  • पुनः आरंभ आवश्यकताएँ:पैच लागू करने के बाद सिस्टम को पुनः आरंभ करना आवश्यक है
    लागू होने की पुष्टि के लिए winver और wmic qfe list के साथ KB नंबर की पुष्टि करें। पैच लागू करने से पहले और बाद में WebClient सेवा की स्वचालित प्रारंभिक सेटिंग्स वापस आ सकती हैं, इसलिए पहले से मैन्युअल रूप से बंद किए गए वातावरण को नीति के माध्यम से स्थिर करना सुरक्षित है।techtarget.comrapid7.com




8. तुरंत किए जा सकने वाले आपातकालीन उपाय

  1. WebClient सेवा को रोकें

    powershell
    Stop-Service -Name WebClient
Set-Service  -Name WebClient -StartupType Disabled

    इससे URL प्रारूप के WebDAV कॉल को अक्षम किया जा सकता है।rapid7.com

  2. IIS/Apache/Nginx पर अनावश्यक WebDAV मॉड्यूल को निष्क्रिय करें

  3. SMTP गेटवे पर .url अटैचमेंट को ब्लॉक करें

  4. EDR में zedocmd.exe, iediagcmd.exe जैसे LOLBin निष्पादन की निगरानी करें

  5. ग्रुप पॉलिसी में बाहरी WebDAV माउंट को निषिद्ध करें

  6. संघर्ष संकेतक (IOC) की खोज

    • WebDAV पथ \\<domain>@ssl@443/DavWWWRoot\* के लिए एक्सेस लॉग

    • Horus Loader की Code Virtualizer हस्ताक्षर (सीरियल के बिना)




9. मध्यम और दीर्घकालिक सुरक्षा सुधार बिंदु

  • प्रोटोकॉल सूचीकरण: पुराने WebDAV निर्भरता को समाप्त करना और SMB over HTTPS या S3 API जैसे आधुनिक विकल्पों की ओर स्थानांतरित करना

  • न्यूनतम विशेषाधिकार का पालन: फ़ाइल साझा सर्वर को अलग नेटवर्क में रखना और प्रमाणीकरण को OAuth2/OpenID Connect में統一 करना

  • माइक्रोसर्विसेज़ीकरण: साझा कार्यक्षमता को गेटवे में लपेटना और इसे व्यक्तिगत सेवाओं के लिए सीधे प्रकट न करना

  • भेद्यता प्रबंधन जीवनचक्र का संक्षेपण: SBOM और निरंतर स्कैनिंग के माध्यम से बिना पैच वाले उपकरणों का 48 घंटे के भीतर पता लगाना और सुधार करना

  • सुरक्षा अभ्यास: DevSecOps टीम में WebDAV के माध्यम से आपूर्ति श्रृंखला उल्लंघन परिदृश्य को शामिल करना और प्रतिक्रिया क्षमता का परीक्षण करना

  • IoC स्वचालित साझाकरण: MISP/TAXII के माध्यम से संगठन के भीतर और बाहर Horus Agent हैश और C2 सूची का वास्तविक समय प्रसार




10. निष्कर्ष और भविष्य की दृष्टि

CVE-2025-33053 ने एक बार फिर दिखाया कि "पुराने प्रोटोकॉल में भी ज़ीरो-डे हो सकता है"। भले ही कंपनियां सीधे WebDAV का उपयोग न करती हों, क्लाउड स्टोरेज या बैकअप उपकरण इसे पृष्ठभूमि में उपयोग कर सकते हैं। माइक्रोसॉफ्ट के पैच को लागू करना आवश्यक है, साथ ही सेवा बंदी और लॉग निगरानी जैसे त्वरित उपायों को तुरंत लागू करना चाहिए। दीर्घकालिक रूप से, पुराने प्रोटोकॉल का उन्मूलन और ज़ीरो ट्रस्ट की ओर संक्रमण अनिवार्य है। प्रभाव के व्यापक दायरे के कारण PoC कोड का प्रकाशन और विभिन्न प्रकार के हमलों का उदय भी संभव है, इसलिए आधिकारिक जानकारी और खतरे की खुफिया पर नजर बनाए रखें।```html golem.debleepingcomputer.com






संदर्भ लेख सूची

  • Golem.de「Nutzer gefährdet: WebDAV-Lücke in Windows wird aktiv ausgenutzt」(2025-06-10)golem.de

  • TechTarget「June Patch Tuesday resolves Windows zero-day」(2025-06-10)techtarget.com

  • Check Point Research「CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage」(2025-06-10)research.checkpoint.com

  • BleepingComputer「Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws」(2025-06-10)bleepingcomputer.com

  • CISA「Known Exploited Vulnerabilities Catalog – CVE-2025-33053」(2025-06-10)cisa.gov

  • Rapid7 Blog「Patch Tuesday – June 2025」(2025-06-10)rapid7.com

  • Tenable Blog「Microsoft’s June 2025 Patch Tuesday addresses 65 CVEs」(2025-06-10)tenable.com ```##



उपयोगकर्ता खतरे में: Windows के WebDAV की कमजोरी का सक्रिय रूप से दुरुपयोग किया जा रहा है
स्रोत: https://www.golem.de/news/nutzer-gefaehrdet-webdav-luecke-in-windows-wird-aktiv-ausgenutzt-2506-197011.html

← लेख सूची पर वापस जाएं