“WebDAV Zero-Day” โจมตี Windows ทุกเวอร์ชัน ── ความเสี่ยงของ CVE-2025-33053 และมาตรการที่ควรดำเนินการทันที【การอธิบายอย่างละเอียด】

“WebDAV Zero-Day” โจมตี Windows ทุกเวอร์ชัน ── ความเสี่ยงของ CVE-2025-33053 และมาตรการที่ควรดำเนินการทันที【การอธิบายอย่างละเอียด】

2025年06月11日 18:08

1. บทนำ

เมื่อวันที่ 10 มิถุนายน 2025 (ตามเวลาในญี่ปุ่นช่วงเช้าวันที่ 11) ไมโครซอฟท์ได้เผยแพร่แพตช์รายเดือนเพื่อแก้ไขช่องโหว่จำนวน 66 รายการ ซึ่งในนั้นมีเพียงรายการเดียวที่ระบุว่า "ยืนยันการใช้งาน" คือ WebDAV CVE-2025-33053techtarget.combleepingcomputer.com



WebDAV เป็นฟังก์ชันเสริมของ HTTP ที่ใช้ในการแชร์ไฟล์และกลุ่มซอฟต์แวร์มาอย่างยาวนาน แต่ในปัจจุบันได้ถูกผนวกเข้ากับระบบจัดเก็บข้อมูลบนคลาวด์และผลิตภัณฑ์สำรองข้อมูล และยังคงทำงานในระบบของบริษัทหลายแห่ง ในบทความนี้จะอธิบายรายละเอียดทางเทคนิคของช่องโหว่และมาตรการปฏิบัติอย่างครอบคลุม




2. WebDAV คืออะไร ― ประวัติและการใช้งาน

WebDAV (RFC 4918) เป็นโปรโตคอลที่ขยาย HTTP เพื่อให้สามารถจัดการไฟล์บนเว็บเซิร์ฟเวอร์จากระยะไกลได้ ถูกเสนอในช่วงปลายทศวรรษ 1990 และถูกนำมาใช้เป็นวิธีการเข้าถึงกล่องจดหมายใน Exchange Server 2003 และเวอร์ชันก่อนหน้า ปัจจุบัน



  • การแชร์ไฟล์ในระบบภายใน/คลาวด์

  • การจัดการเวอร์ชันในระบบจัดการเอกสาร (DMS)

  • ที่เก็บข้อมูลในอุปกรณ์สำรองข้อมูล

  • การซิงค์ข้อมูลในแอปพลิเคชันมือถือ
    ยังคงมีการใช้งานในหลากหลายรูปแบบsecuritybrief.co.nz




3. ภาพรวมของช่องโหว่ CVE-2025-33053

หัวข้อเนื้อหา
หมายเลข CVECVE-2025-33053
ความสำคัญCVSS 8.8 (สำคัญ/Important)
ประเภทการเรียกใช้โค้ดระยะไกล (RCE)
ขอบเขตที่ได้รับผลกระทบWindows 10/11, Windows Server 2016 ขึ้นไป, โมดูล WebDAV ที่เปิดใช้งานใน IIS, Apache, Nginx เป็นต้น
เงื่อนไขผู้ใช้เปิด WebDAV URL หรือ .url ที่ถูกปรับแต่งเป็นพิเศษ
สถานการณ์การใช้ประโยชน์พบการโจมตีแบบเจาะจงเป้าหมายโดย APT "Stealth Falcon"
มาตรการชั่วคราวหยุดบริการ WebClient/ลบฟังก์ชัน WebDAV



ข้อบกพร่องนี้เกิดจากการจัดการไดเรกทอรีทำงานของ WebDAV ซึ่งทำให้ผู้โจมตีสามารถโหลดไฟล์ที่เป็นอันตรายจากเซิร์ฟเวอร์ระยะไกลไปยังเครื่องที่ได้รับผลกระทบได้research.checkpoint.com
ผู้ใช้เพียงแค่เปิดทางลัดที่เรียกใช้เครื่องมือวินิจฉัยที่ถูกต้อง เช่น iediagcmd.exe ก็สามารถติดเชื้อได้ และโซ่การบุกรุกจะดำเนินการในเบื้องหลัง




4. โซ่การโจมตีและกรณี "Stealth Falcon"

Check Point Research ได้วิเคราะห์การโจมตีแบบฟิชชิ่งต่อบริษัทป้องกันประเทศในตุรกีในเดือนมีนาคม 2025 และค้นพบ Horus Loader ที่ไม่รู้จักซึ่งใช้ประโยชน์จากช่องโหว่นี้ โฟลว์การโจมตีมีดังนี้research.checkpoint.com


  1. .url ファイルถูกแนบมากับอีเมลฟิชชิ่ง

  2. เมื่อเปิด URL WorkingDirectory จะถูกเปลี่ยนไปยังเซิร์ฟเวอร์ WebDAV ของผู้โจมตี

  3. เครื่องมือที่ถูกต้องจะทำการรัน route.exe ปลอมบนเซิร์ฟเวอร์นั้น

  4. Horus Loader ทำการดีโค้ดหลายขั้นตอนเพื่อฉีด Horus Agent เข้าสู่กระบวนการของ Edge

  5. Horus Agent สื่อสารกับ C2 เพื่อขโมยข้อมูลและขยายเพย์โหลดเพิ่มเติม


Stealth Falcon เป็น APT ที่ได้เฝ้าติดตามหน่วยงานรัฐบาลในตะวันออกกลางและแอฟริกาเหนืออย่างต่อเนื่อง และมีประวัติการใช้มัลแวร์ที่สร้างเองและการซื้อช่องโหว่ Zero-day มาเป็นเวลานาน




5. ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ

  • Windows Client: Windows 10 22H2, Windows 11 23H2 และทุกสายการสนับสนุน

  • Windows Server: Server 2016/2019/2022/2025

  • IIS (เปิดใช้งาน WebDAV extension)

  • Apache mod_dav / Nginx WebDAV modules / SabreDAV และไลบรารีการใช้งานโปรโตคอลอื่นๆ

  • คลาวด์สตอเรจ: Nextcloud, ownCloud และบริการที่ให้ API WebDAV
    ทั้งหมดนี้อยู่ในเป้าหมายของโปรแกรมอัปเดต MSRC หรือถูกระบุในแคตตาล็อก KEV ของ CISA ว่า "มีความเป็นไปได้ที่จะได้รับผลกระทบ"cisa.govcrowdstrike.com




6. สถานการณ์การใช้ประโยชน์และประวัติของ Zero-day

จากการวิเคราะห์ของ TechTarget และ BleepingComputer พบว่า CVE-2025-33053 ถูกใช้ประโยชน์จริงก่อนการเผยแพร่แพตช์ และการที่เพย์โหลดสามารถรันได้ด้วยการคลิกเพียงครั้งเดียวทำให้เกณฑ์การประเมินถูกยกระดับจาก "สำคัญ" ไปสู่ "วิกฤต"techtarget.combleepingcomputer.com
Microsoft ได้เปิดเผยช่องโหว่ WebDAV เป็นครั้งสุดท้ายในปี 2018 ซึ่งเป็นการกลับมาอีกครั้งในรอบประมาณ 7 ปีsecuritybrief.co.nz




7. เนื้อหาและขั้นตอนการใช้แพตช์ของ Microsoft

  • Windows Update/WSUS/MECM:รวมอยู่ในโปรแกรมอัปเดตสะสม 2025-06 (KB5060999 เป็นต้น)

  • เส้นทางแพตช์เฉพาะด้านความปลอดภัย (Server 2012 R2 ESU เป็นต้น):จำเป็นต้องมีการอัปเดต OS และแพตช์ IE (MSHTML) ทั้งสองอย่าง

  • ข้อกำหนดการรีสตาร์ท:จำเป็นต้องรีสตาร์ทระบบหลังจากใช้แพตช์
    การยืนยันการใช้สามารถทำได้โดยใช้ winver และ wmic qfe list เพื่อตรวจสอบหมายเลข KB การตั้งค่าเริ่มต้นอัตโนมัติของบริการ WebClient อาจกลับมาในบางกรณีก่อนและหลังการใช้แพตช์ ดังนั้นหากมีการหยุดการทำงานด้วยตนเองอยู่แล้ว ควรตั้งค่าให้คงที่ด้วยนโยบายเพื่อความปลอดภัยtechtarget.comrapid7.com




8. มาตรการหลีกเลี่ยงฉุกเฉินที่สามารถทำได้ทันที

  1. การหยุดบริการ WebClient

    powershell
    Stop-Service -Name WebClient
Set-Service  -Name WebClient -StartupType Disabled

    ด้วยวิธีนี้สามารถปิดการเรียก WebDAV ในรูปแบบ URL ได้rapid7.com

  2. ปิดใช้งานโมดูล WebDAV ที่ไม่จำเป็นบน IIS/Apache/Nginx

  3. บล็อกไฟล์แนบ .url บนเกตเวย์ SMTP

  4. ตรวจสอบการรัน LOLBin เช่น zedocmd.exe, iediagcmd.exe ด้วย EDR

  5. ห้ามการเมาท์ WebDAV ภายนอกด้วยนโยบายกลุ่ม

  6. การล่าตัวบ่งชี้การบุกรุก (IOC)

    • บันทึกการเข้าถึง WebDAV path \\<domain>@ssl@443/DavWWWRoot\*

    • ลายเซ็น Code Virtualizer ของ Horus Loader (ไม่มีซีเรียล)




9. จุดเสริมความปลอดภัยที่จำเป็นในระยะกลางถึงยาว

  • การตรวจสอบโปรโตคอล: กำจัดการพึ่งพา WebDAV เก่าและย้ายไปยังทางเลือกที่ทันสมัยเช่น SMB over HTTPS หรือ S3 API

  • การบังคับใช้อำนาจขั้นต่ำ: วางเซิร์ฟเวอร์แชร์ไฟล์ในเครือข่ายที่แยกออกมาและรวมการยืนยันตัวตนเป็น OAuth2/OpenID Connect

  • การทำให้เป็นไมโครเซอร์วิส: ห่อหุ้มฟังก์ชันการแชร์ด้วยเกตเวย์และไม่เปิดเผยต่อบริการแต่ละตัวโดยตรง

  • การลดระยะเวลาวงจรชีวิตการจัดการช่องโหว่: ตรวจจับและแก้ไขอุปกรณ์ที่ยังไม่ได้แพตช์ภายใน 48 ชั่วโมงด้วย SBOM และการสแกนต่อเนื่อง

  • การฝึกซ้อมความปลอดภัย: รวมสถานการณ์การบุกรุกซัพพลายเชนผ่าน WebDAV ในทีม DevSecOps เพื่อตรวจสอบความสามารถในการตอบสนอง

  • การแชร์ IoC อัตโนมัติ: การเผยแพร่แฮช Horus Agent และรายการ C2 แบบเรียลไทม์ภายในและภายนอกองค์กรด้วย MISP/TAXII




10. สรุปและแนวโน้มในอนาคต

CVE-2025-33053 ได้แสดงให้เห็นอีกครั้งว่า "โปรโตคอลเก่าก็สามารถมีช่องโหว่แบบศูนย์วันได้" แม้แต่บริษัทที่ไม่ใช้ WebDAV โดยตรงก็อาจมีการใช้งานในระบบคลาวด์สตอเรจหรืออุปกรณ์สำรองข้อมูลในเบื้องหลัง การใช้แพตช์ของ Microsoft เป็นสิ่งสำคัญ รวมถึงการหยุดบริการและการตรวจสอบบันทึกเพื่อป้องกันในทันที ในระยะยาวการยกเลิกโปรโตคอลเก่าและการย้ายไปยัง Zero Trust เป็นสิ่งจำเป็น เนื่องจากขอบเขตของผลกระทบที่กว้างขวาง การเผยแพร่โค้ด PoC และการโจมตีแบบแปรผันอาจเกิดขึ้นได้ ดังนั้นควรติดตามข้อมูลทางการและข่าวกรองภัยคุกคามอย่างต่อเนื่องgolem.debleepingcomputer.com






รายการบทความอ้างอิง

  • Golem.de「Nutzer gefährdet: WebDAV-Lücke in Windows wird aktiv ausgenutzt」(2025-06-10)golem.de

  • TechTarget「June Patch Tuesday resolves Windows zero-day」(2025-06-10)techtarget.com

  • Check Point Research「CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage」(2025-06-10)research.checkpoint.com

  • BleepingComputer「Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws」(2025-06-10)bleepingcomputer.com

  • CISA「Known Exploited Vulnerabilities Catalog – CVE-2025-33053」(2025-06-10)cisa.gov

  • Rapid7 Blog「Patch Tuesday – June 2025」(2025-06-10)rapid7.com

  • Tenable Blog「Microsoft’s June 2025 Patch Tuesday addresses 65 CVEs」(2025-06-10)tenable.com##



ผู้ใช้ตกอยู่ในอันตราย: ช่องโหว่ WebDAV ใน Windows ถูกนำไปใช้ประโยชน์อย่างแข็งขัน
แหล่งที่มา: https://www.golem.de/news/nutzer-gefaehrdet-webdav-luecke-in-windows-wird-aktiv-ausgenutzt-2506-197011.html

← กลับไปที่รายการบทความ