Windows contient une vulnérabilité zero-day critique dans la manière dont certains binaires signés gèrent le paramètre WorkingDirectory lorsqu’ils sont lancés via des fichiers de raccourci .url. Plus précisément, Windows permet aux fichiers de raccourci de définir un répertoire de travail pointant vers un serveur WebDAV contrôlé par un attaquant, qui peut héberger des exécutables malveillants portant le même nom que des utilitaires Windows légitimes.

Cette faille de conception permet aux attaquants d’amener des processus Windows légitimes à charger et exécuter du code distant malveillant, sans rien écrire sur le disque, conduisant à une exécution de code à distance (RCE) furtive ne nécessitant aucune authentification de la part de l’utilisateur.

Date	16/06/2025 16:44:05

Résumé technique

Composant vulnérable : La vulnérabilité réside dans le service client WebDAV de Windows, combiné à la manière dont les binaires Windows signés (tels que iediagcmd.exe, un outil de diagnostic) résolvent leurs dépendances via le champ WorkingDirectory dans les fichiers .url.

Vecteur d’attaque : Un attaquant crée un fichier .url qui :

• Utilise un chemin valide vers un binaire légitime dans le champ URL (par exemple, pointant vers iediagcmd.exe)
• Définit le champ WorkingDirectory sur un partage WebDAV distant sous le contrôle de l’attaquant

Lorsque l’utilisateur ouvre ce raccourci, Windows lance le binaire de confiance mais recherche les dépendances, telles que route.exe, dans le dossier WebDAV spécifié. Si l’attaquant héberge une version malveillante de route.exe dans ce répertoire, celle-ci est chargée et exécutée à la place de celle du système.

Binaire signé + répertoire de travail malveillant = RCE : Cette combinaison d’exécution de code de confiance avec une résolution de chemin contrôlée par un attaquant constitue un puissant vecteur de RCE. L’exécutable malveillant hérite des permissions du binaire signé lancé, ce qui aboutit souvent à une compromission complète du niveau utilisateur.

Attaque non authentifiée : Aucune authentification préalable n’est requise. Un attaquant peut distribuer le raccourci via des e-mails de spear-phishing ou des téléchargements web compromis. Une fois ouvert, la charge utile est exécutée immédiatement sur le réseau via WebDAV, sans laisser de trace sur le disque, rendant la détection extrêmement difficile.

Exploitation in-the-wild : Des chercheurs en sécurité et Microsoft ont confirmé que des groupes APT (notamment Stealth Falcon/FruityArmor) ont activement utilisé cette vulnérabilité depuis mars 2025. Les attaquants ont utilisé ce vecteur pour distribuer HorusLoader, qui téléchargeait des implants chiffrés (Horus Agent) pour des opérations d’espionnage, incluant l’enregistrement de frappes clavier, le vidage d’identifiants et l’exfiltration de données.

Recommandations

1. Installer les correctifs de juin 2025 : Microsoft a corrigé la CVE-2025-33053 le 11 juin 2025 dans le cadre du Patch Tuesday. Appliquez les mises à jour sur tous les systèmes concernés, y compris les systèmes hérités (ex. Windows Server 2012), car la vulnérabilité est activement exploitée.

2. Désactiver WebDAV si inutilisé : Envisagez de désactiver le client WebDAV via les fonctionnalités de Windows ou les stratégies de groupe, si cela n’est pas nécessaire. Cela interrompt complètement la chaîne d’attaque.

3. Restreindre l’accès Internet pour l’exécution de fichiers .url : Bloquez ou limitez l’exécution de fichiers .url reçus de sources non fiables, surtout s’ils font référence à des répertoires de travail externes. Surveillez également les fichiers .url qui pointent vers des URL WebDAV (ex. \\attacker.com\webdav\).

4. Renforcer l’utilisation des LOLBins : Prévenez ou surveillez l’utilisation de binaires Windows signés à haut risque (ex. iediagcmd.exe, mshta.exe, wscript.exe) via AppLocker ou les règles de réduction de la surface d’attaque (ASR) de Defender, car ils sont souvent utilisés dans des attaques de type “living-off-the-land”.

[Callforaction-THREAT-Footer]