記事本文(要約)
国家支援の攻撃者が、MicrosoftのWeb Distributed Authoring and Versioning(WEBDAV)に存在するゼロデイ脆弱性(CVE-2025-33053, CVSS 8.8)を悪用し、ターゲットシステムでワンクリックでリモートコード実行(RCE)を行っています。この脆弱性はStealth Falconという高度持続型脅威(APT)グループによって、中東の重要な防衛関連の組織を攻撃するために使用されています。Microsoftは、この脆弱性を含む66件のCVEを6月のパッチで修正しました。この脆弱性は、公式サポート外のプラットフォームに対してもパッチが提供されており、ユーザーが悪意のあるURLをクリックするだけでコードが実行される点が懸念されています。Stealth Falconは、過去にもゼロデイエクスプロイトを使用し中東地域でのサイバー諜報活動を行ってきたとされ、最新の攻撃ではHorus Agentという新しいバックドアを用いています。他にも、6月のリリースでは、OfficeのRCEバグやWindows SMBクライアントの権限昇格脆弱性(CVE-2025-33073, CVSS 8.8)などの重要な脆弱性が修正されました。これらの脆弱性は速やかに修正することが推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 10 Jun 2025 21:56:46 GMT
Original URL: https://www.darkreading.com/vulnerabilities-threats/stealth-falcon-apt-exploits-microsoft-rce-zero-day-mideast
詳細な技術情報
以下は、今回の文章の中で取り上げられている脆弱性についての詳細な分析です。
CVE番号と概要
- CVE-2025-33053: この脆弱性はMicrosoftのWeb Distributed Authoring and Versioning (WEBDAV)に関するゼロデイの脆弱性で、CVSSスコアは8.8。ターゲットシステムでワンクリックで遠隔からコードを実行可能にするため、重大な影響を及ぼします。この脆弱性は中東の高プロフィールな防衛組織を標的にしたサイバー攻撃で悪用されています。
脆弱性の仕組み
- WEBDAVはHTTPの機能を拡張してウェブサーバー上のファイルとのインタラクションを可能にします。CVE-2025-33053では、偽装されたURLファイルを含むスピアフィッシングメールを開くことで、WEBDAVサーバーへのアクセスを悪用し、遠隔コードが実行される可能性があります。
攻撃手法
- 攻撃者はスピアフィッシングメールを使用して受信者に悪意のあるURLをクリックさせます。このURLは遠隔のWEBDAVサーバーにリンクしており、クリックすることで感染の連鎖が開始されます。攻撃は「Horus Agent」というバックドアを組み込む形式で行われ、これはオープンソースのリートチーミングフレームワークのMythicと連携します。
潜在的な影響
- WEBDAVの脆弱性が悪用されると、防衛組織のような高価値ターゲットに対してサイバー攻撃が行われます。この攻撃はスパイウェアやデータ窃盗、システムの完全な制御にまで及ぶ可能性があります。特に、Horus Agentを使って被害者の機械を調査し、情報収集や次の段階のペイロードを展開するなど、多岐にわたる悪性行動が可能です。
推奨される対策
- パッチ適用: マイクロソフトが6月のPatch Tuesdayで提供した最新のセキュリティアップデートを適用することが最重要です。CVE-2025-33053に対する修正プログラムが含まれており、サポートが終了したプラットフォーム(Windows 8, Windows Server 2012)にもパッチが提供されています。
- フィッシング対策: スピアフィッシング攻撃を防ぐため、従業員への教育と訓練を強化し、不審なメールやリンクに対する警戒を促すことが挙げられます。
- ネットワーク監視とログ分析: ネットワーク内の不審なアクティビティを早期に検出するために、適切な監視とログの分析が重要です。
- セキュリティソリューションの導入: 脅威情報の収集と分析に基づいた高度なセキュリティ防御を導入することが推奨されます。
結論
CVE-2025-33053は高リスクのゼロデイ脆弱性です。特に国家支援型の脅威アクターによる攻撃が確認されており、迅速な対応が必要です。既存のセキュリティ対策を強化するとともに、最新のパッチを適用することが不可欠です。
