CVE-2025-33053

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-06-10

Официальное описание

Microsoft Windows contains an external control of file name or path vulnerability that could allow an attacker to execute code from a remote WebDAV location specified by the WorkingDirectory attribute of Internet Shortcut files.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-33053 представляет собой критическую уязвимость в механизме обработки путей в Microsoft Windows. Проблема заключается в некорректной валидации атрибута WorkingDirectory в файлах интернет-ярлыков (.url).

Злоумышленник может создать специально сформированный файл ярлыка, где рабочий каталог указывает на удаленный ресурс по протоколу WebDAV или SMB. При открытии такого файла операционная система автоматически обращается к удаленному серверу, что позволяет выполнить произвольный код (RCE) в контексте текущего пользователя или осуществить кражу NTLM-хэшей. Основной вектор атаки — фишинг и доставка вредоносных ярлыков через электронную почту или мессенджеры.

Как исправить

Основным методом устранения является установка официальных обновлений безопасности от Microsoft (Patch Tuesday).

  1. Проверьте наличие обновлений через Центр обновления Windows:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

  1. Для корпоративных сред (WSUS/SCCM): Убедитесь, что пакеты обновлений за соответствующий месяц 2025 года одобрены и развернуты на конечных точках.

  2. Проверка версии билда ОС для подтверждения патча:

winver

Временные меры

Если немедленная установка патчей невозможна, необходимо применить защитные механизмы для ограничения эксплуатации WebDAV и SMB.

  1. Блокировка исходящего трафика WebDAV (порт 80/443) к недоверенным узлам и отключение службы WebClient:
Stop-Service WebClient
Set-Service WebClient -StartupType Disabled

  1. Ограничение доступа к удаленным SMB-ресурсам через групповые политики (GPO): Включите параметр «Ограничить исходящий трафик NTLM на удаленные серверы» (Restrict NTLM: Outgoing NTLM traffic to remote servers).

  2. Настройка Attack Surface Reduction (ASR) правил через Microsoft Defender для блокировки запуска подозрительных скриптов из ярлыков:

Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
  1. Блокировка создания/запуска файлов .url, указывающих на внешние зоны, с помощью AppLocker или Windows Defender Application Control (WDAC).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей