出典: Edo Schmidt via Alamy Stock Photo
国家の敵対者が、MicrosoftのWeb Distributed Authoring and Versioning (WEBDAV)のゼロデイセキュリティ脆弱性を悪用し、ターゲットシステムでワンクリックでリモートコード実行 (RCE) を可能にしています。
WEBDAVはHTTPの機能を拡張するプロトコルで、ユーザーがWebサーバー上のファイルとより協力的かつ豊富な機能でやり取りできるようにします。Check Point Research (CPR)によると、重要と評価されたバグ(CVE-2025-33053, CVSS 8.8)は、ステルスファルコンの高度持続的脅威 (APT) グループによって中東の著名な防衛機関を侵害するために使用されています。このキャンペーンの特徴は、「偽装されたURLファイル、WebDAVサーバー、正規のWindowsツールを使用して、カスタムスパイウェアを静かに実行することです。これには新しい[カスタム]インプラントであるHorus Agentが含まれます」と研究者たちは述べ、ステルスファルコンの高度な技術には、土地に住む (LOLBins) も含まれると指摘しています。
幸いなことに、CVE-2025-33053は、Microsoftが今日リリースした6月のパッチ火曜日で修正された66件のうちの1つです。Trend MicroのZero Day InitiativeのDustin Childsが6月の更新をカバーするブログ投稿で指摘したように、この脆弱性の悪用は十分に懸念されており、コンピュータの巨人はサポートが終了したプラットフォームでもこの欠陥に対処しました。
“Microsoftはこれらの攻撃がどの程度広がっているかについて何の指示もしていませんが、Windows 8やWindows Server 2012のような公式にサポートが終了したプラットフォームのためにパッチを作成するという異例の措置を講じています”と彼はブログ投稿で書いています。”悪意のあるURLをクリックする必要がありますが、それがコード実行のために必要な唯一のステップです。Microsoftがサポート外のOSのために更新を行ったことを考えると、これを早急にパッチすることをお勧めします。”
関連記事:中東のビジネス開発におけるサイバーセキュリティの遅れ
6月に新たに公開された66件のCVEは、WindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、.NETおよびVisual Studio、Nuance Digital Engagement Platform、Windows Cryptographic Serviceに存在します。そのうち10件がクリティカルと評価され、残りは重要と評価されています。
ステルスファルコンが防衛ターゲットを狙う
WEBDAVのバグをMicrosoftに報告したCPRによると、ステルスファルコン(別名FruityArmor)は少なくとも2012年から活動しているAPTです。その活動は中東およびアフリカに集中しており、最近ではエジプト、カタール、トルコ、イエメンの政府および防衛セクターで著名なターゲットが観察されています。他の研究者はそのサイバー攻撃がアラブ首長国連邦(UAE)によって支援されているとしています。
CPRが観察した最近の事例では、被害者はリモートWEBDAVサーバーへのリンクを含むスピアフィッシングメールを受け取り、クリックするとCVE-2025-33053が悪用され、正規の組み込みWindowsツールの作業ディレクトリを操作する感染チェーンが始まりました。最終的に、このエクスプロイトはオープンソースのMythicレッドチーミングフレームワークと連携するように設計されたHorus Agentバックドアインプラントの配信をもたらしました。CPRのブログ投稿によると、コマンド&コントロール(C2)にMythicを使用することは、ステルスファルコンの既知の戦術です。
関連記事:United Natural Foodのオペレーションがサイバーセキュリティインシデントを通じて低迷
“長年にわたり、ステルスファルコンはゼロデイエクスプロイトを取得し、中東全域のエンティティをターゲットにしたサイバースパイ活動で高度なカスタムペイロードを使用していることが観察されています”とCPRの研究者は述べています。”エジプトの空の神ホルスにちなんで名付けられたHorus Agentは、グループが以前に使用していたカスタマイズされたApolloインプラント[Mythic用]の進化を表しています。”
Horus Agentの能力は意図的に制限されているようで、攻撃の最も重要な機能に焦点を当てているとCPRの研究者は説明しています。”被害者のマシンを指紋認証してその価値を評価し、ターゲットが価値があると判断された場合に次の段階のペイロードを展開する”と説明しています。”このアプローチは、おそらく彼らの他のカスタムポストエクスプロイトペイロードを保護するのに役立つでしょう”と述べており、これにはキーロガー、パッシブバックドア、クレデンシャルダンパーが含まれます。
関連記事:SSHキー: おそらく無視している最も強力なクレデンシャル
Horus Agentのコマンドには以下が含まれます:
-
すべての実行中のジョブのテキストビジュアライゼーションを送信
-
システムに関する詳細情報を収集
-
構成値を更新
-
ディレクトリ下のファイル/フォルダをリスト
-
同じプロセスまたは異なるプロセスにシェルコードを注入
-
C2サーバーからファイルをダウンロード
-
“Survey”、実行中のサービス、バッテリーステータス、ユーザー名、プロセス、ネットワーク構成データを収集するカスタムシステム列挙機能
-
Mythicの”Shinject”のカスタムバージョン、複数のプロセス注入方法を提供するシェルコード注入機能
“新しいHorus Agentは一から書き直されたようです”とCPRは述べています。”カスタムコマンドを追加するだけでなく、脅威アクターはエージェントとそのローダーの解析防止保護と防御対策に追加の重点を置いています。これは、彼らが被害者と/または使用されているセキュリティソリューションについて深い知識を持っていることを示唆しています。”
2025年6月リリースで優先的にパッチを当てるべき他のCVE
おそらく6月のリリースで最も注目すべきは、MicrosoftがOfficeでプレビューウィンドウが攻撃ベクターとなる4つのRCEバグを修正したことです(CVE-2025-47162, CVE-2025-47164, CVE-2025-47167, および CVE-2025-47953, すべてCVSS 8.4)。
“これらの多くは最高のエクスプロイト指数評価を受けており、Microsoftは30日以内に公的な悪用が予想されるとしています”とChildsは述べています。”これらのバグはユーザーの操作なしで実行されるため、しばしば特権昇格バグと組み合わせてシステムを乗っ取るために使用されます。そしてプレビューウィンドウが関与しているため、ユーザーがその怪しいメールをクリックしなくても問題ありません。今月のOfficeの更新を展開するのを待たないでください。”
アクティブに悪用されているゼロデイに加えて、もう1つのゼロデイが公に知られているがまだ野生では使用されていないとリストされています — これは、概念実証エクスプロイトが利用可能であり、リモートで使用できるため、すぐに変わる可能性があります。それは(CVE-2025-33073, CVSS 8.8)、Windows SMBクライアントの特権昇格 (EoP) 脆弱性です。
“これはSYSTEMレベルでのコード実行につながり、ユーザーを説得して攻撃者が制御する悪意のあるアプリケーションサーバーに接続させることでトリガーされる可能性があります”とChildsは説明しました。”ここでの最も明白な選択肢はSMBサーバーでしょう。接続すると、悪意のあるサーバーが影響を受けたシステムを侵害し、特権を昇格させる可能性があります。”
チームが優先的に考慮すべき他のセキュリティ脆弱性には、クリティカルなMicrosoft SharePoint Server RCEの欠陥(CVE-2025-47172, CVSS 8.8)が含まれます。
“この脆弱性が特に警戒されるのは、典型的なデータベース操作を超えて、SQL Serverの機能であるxp_cmdshellやCLR統合を介してオペレーティングシステムコマンドを実行できる可能性があることです”とAction1のCEO兼共同創設者であるAlex Vovkは述べています。”おなじみのSQLインジェクションの欠陥とリモートコード実行の組み合わせは、この脆弱性を特に危険にします。公開されたSharePointインスタンスや大規模なユーザーベースを持つ組織は、修正を優先すべきです。”
彼はまた、Microsoftがこのバグに「悪用の可能性が低い」と評価しているにもかかわらず、SQLインジェクション攻撃手法はセキュリティコミュニティでよく知られており、リスクは極端になり得ると指摘しています。
“この脆弱性は、最小限のSharePointアクセスから始まる高度な攻撃を可能にします”と彼は警告します。”攻撃者はコード実行を獲得し、データベースの資格情報を抽出し、トークンを盗み、特権を昇格させることができ、ドメイン管理者レベルに到達する可能性があります。これは、資格情報の盗難、横方向の移動、データの流出、ランサムウェアの展開と組み合わせると特に危険です。侵害されたSharePointインスタンスは、サードパーティの統合を通じて接続されたシステムを脅かす可能性もあります。”
そして最後に、Nightwingのサイバーインシデント対応マネージャーであるNick Carrollは、Windows Common Log File SystemのEoP脆弱性(CVE-2025-32713, CVSS 7.8)をすぐにパッチを当てるべきものとして指摘しています。
これはクリティカルと評価されていないため、「一部の組織はおそらくすぐにパッチを当てることを優先しないでしょう」と彼は指摘しています。”しかし、私たちは現実の攻撃でそのWindows Log Fileサブシステムを悪用するのをかなり定期的に見ています。実際、Nightwingは、最近パッチが当てられたCVE-2025-29824に関連する先月の現実の攻撃で、土地に住む戦術とエクスプロイトを組み合わせて防御しました。”