CVE-2025-33053

شناسه CVE-2025-33053 :CVE
CWE-73 :CWE
yes :Advisory
منتشر شده: ژوئن 10, 2025
به روز شده: ژوئن 10, 2025
امتیاز: 8.8
نوع حمله: Remote Command Execution

اثر گذاری: Remote code execution(RCE)
حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
برند: Microsoft
محصول: Windows Server
وضعیتPublished :CVE
No :POC
وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در کامپوننت WebDAV ویندوز شناسایی شده است که به مهاجمان اجازه می‌دهد با دستکاری مسیر فایل، اقدام به اجرای کد مخرب از راه دور نمایند. این آسیب‌پذیری در سطح سیستم و بدون نیاز به احراز هویت قابل بهره‌برداری است.

توضیحات

آسیب‌پذیری با شناسه CVE-2025-33053 ناشی از کنترل مسیر فایل توسط ورودی خارجی (CWE-73) در کامپوننت WebDAV سیستم عامل ویندوز است. مهاجم می‌تواند با فریب کاربر به کلیک بر لینک مخرب، از راه دور کد دلخواه خود را روی سیستم هدف اجرا کند. این آسیب‌پذیری نیاز به هیچگونه سطح دسترسی اولیه ندارد و تنها تعامل کاربر ( مانند کلیک روی لینک) برای شروع بهره‌برداری کفایت می‌کند. گزارش هایی مبنی بر سوءاستفاده فعال از آن در اینترنت منتشر شده است. همچنین محرمانگی (confidentiality)، یکپارچگی (integrity) و در دسترس پذیری (availability) سیستم را تهدید می کند.

این آسیب‌پذیری در تاریخ 10 ژوئن 2025 در فهرست آسیب‌پذیری‌های شناخته‌شده و مورداستفاده (KEV) آژانس امنیت سایبری CISA قرار گرفته و توسط مایکروسافت در به‌روزرسانی امنیتی همان ماه پچ شده است.

CVSS

Score	Severity	Version	Vector String
8.8	HIGH	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions	Platforms	Product
affected from 10.0.17763.0 before 10.0.17763.7434	32-bit Systems, x64-based Systems	Windows 10 Version 1809
affected from 10.0.17763.0 before 10.0.17763.7434	x64-based Systems	Windows Server 2019
affected from 10.0.17763.0 before 10.0.17763.7434	x64-based Systems	Windows Server 2019 (Server Core installation)
affected from 10.0.20348.0 before 10.0.20348.3807	x64-based Systems	Windows Server 2022
affected from 10.0.19044.0 before 10.0.19044.5965	32-bit Systems, ARM64-based Systems, x64-based Systems	Windows 10 Version 21H2
affected from 10.0.22621.0 before 10.0.22621.5472	ARM64-based Systems, x64-based Systems	Windows 11 version 22H2
affected from 10.0.19045.0 before 10.0.19045.5965	x64-based Systems, ARM64-based Systems, 32-bit Systems	Windows 10 Version 22H2
affected from 10.0.26100.0 before 10.0.26100.4349	x64-based Systems	Windows Server 2025 (Server Core installation)
affected from 10.0.22631.0 before 10.0.22631.5472	ARM64-based Systems	Windows 11 version 22H3
affected from 10.0.22631.0 before 10.0.22631.5472	x64-based Systems	Windows 11 Version 23H2
affected from 10.0.25398.0 before 10.0.25398.1665	x64-based Systems	Windows Server 2022, 23H2 Edition (Server Core installation)
affected from 10.0.26100.0 before 10.0.26100.4349	ARM64-based Systems, x64-based Systems	Windows 11 Version 24H2
affected from 10.0.26100.0 before 10.0.26100.4349	x64-based Systems	Windows Server 2025
affected from 10.0.10240.0 before 10.0.10240.21034	32-bit Systems, x64-based Systems	Windows 10 Version 1507
affected from 10.0.14393.0 before 10.0.14393.8148	32-bit Systems, x64-based Systems	Windows 10 Version 1607
affected from 10.0.14393.0 before 10.0.14393.8148	x64-based Systems	Windows Server 2016
affected from 10.0.14393.0 before 10.0.14393.8148	x64-based Systems	Windows Server 2016 (Server Core installation)
affected from 6.0.6003.0 before 6.0.6003.23351	32-bit Systems	Windows Server 2008 Service Pack 2
affected from 6.0.6003.0 before 6.0.6003.23351	32-bit Systems, x64-based Systems	Windows Server 2008 Service Pack 2 (Server Core installation)
affected from 6.0.6003.0 before 6.0.6003.23351	x64-based Systems	Windows Server 2008 Service Pack 2
affected from 6.1.7601.0 before 6.1.7601.27769	x64-based Systems	Windows Server 2008 R2 Service Pack 1
affected from 6.1.7601.0 before 6.1.7601.27769	x64-based Systems	Windows Server 2008 R2 Service Pack 1 (Server Core installation)
affected from 6.2.9200.0 before 6.2.9200.25522	x64-based Systems	Windows Server 2012
affected from 6.2.9200.0 before 6.2.9200.25522	x64-based Systems	Windows Server 2012 (Server Core installation)
affected from 6.3.9600.0 before 6.3.9600.22620	x64-based Systems	Windows Server 2012 R2
affected from 6.3.9600.0 before 6.3.9600.22620	x64-based Systems	Windows Server 2012 R2 (Server Core installation)

لیست محصولات بروز شده

تمامی محصولات در به‌روزرسانی امنیتی ماه ژوئن 2025 مایکروسافت پچ شده‌اند.

نتیجه گیری

کاربران و مدیران سیستم باید در اسرع وقت اقدام به نصب به‌روزرسانی‌های امنیتی منتشرشده توسط مایکروسافت نمایند. در صورت عدم امکان نصب پچ امنیتی، توصیه می‌شود WebDAV غیرفعال شده یا اقدامات کاهش‌دهنده در سطح شبکه و مرورگرها اعمال گردد.

منابع

اثبات آسیب‌پذیری WebDAV (CVE-2025-33053)

معرفی آسیب‌پذیری
نرم‌افزار آسیب‌پذیر: Microsoft Windows )فایل‌های .url (WebDAV +
نسخه‌های آسیب‌پذیر:
Windows 10
Windows 11
Windows Server ( نسخه‌های پشتیبانی‌شده و قدیمی که وصله نشده‌اند)
ماهیت مشکل:

این آسیب‌پذیری از نوع اجرای کد از راه دور (RCE) است و ناشی از ضعف در سیستم‌عامل ویندوز و رفتار ابزارهای قانونی آن هنگام باز کردن فایل‌های Internet Shortcut (.url) است. اگر فایل .url طوری ساخته شود که Working Directory آن به یک مسیر راه‌دور تحت کنترل مهاجم مانند WebDAV اشاره کند، ابزارهای ویندوز مانند iediagcmd.exe ممکن است فایل‌های مخرب میزبانی‌شده توسط مهاجم را به جای فایل‌های سیستم اجرا کنند. در این آسیب‌پذیری، WebDAV صرفاً به عنوان بستر میزبان فایل مخرب عمل می‌کند و مشکل امنیتی اصلی مربوط به نحوه پردازش فایل‌های .url در ویندوز است.

شدت آسیب‌پذیری: بحرانی (RCE)

محیط آزمایش
جهت بازتولید اثبات مفهومی (PoC) موارد زیر توصیه می‌شود:

یک ماشین Windows آسیب‌پذیر با WebDAV فعال (ترجیحاً در محیط آزمایشگاهی ایزوله)
راه‌اندازی یک سرور WebDAV تحت کنترل مهاجم برای میزبانی فایل‌های مخرب
توانایی ارسال فایل .url ساخته‌شده به قربانی (مثلاً از طریق فیشینگ یا آرشیو مخرب)

اجرای PoC
گام 1: روی سیستم مهاجم، اسکریپت payload را اجرا کنید:

python3 setup_webdav_payload.py

اسکریپت Python به نام setup_webdav_payload.py در پروژه Proof-of-Concept (PoC) آسیب‌پذیری CVE-2025-33053 طراحی شده است تا فرآیند راه‌اندازی یک سرور WebDAV آسیب‌پذیر و ایجاد فایل‌های مخرب را خودکار کند. این اسکریپت شامل مراحل زیر است:

راه‌اندازی سرور WebDAV: با استفاده ازDocker ، یک سرور WebDAV محلی راه‌اندازی می‌شود که می‌تواند فایل‌های مخرب را میزبانی کند.
ساخت فایل‌های مخرب: اسکریپت فایل‌های .url را تولید می‌کند که مسیر کاری Working Directory را به دایرکتوری‌های WebDAV تحت کنترل مهاجم تنظیم می‌کنند.
فشرده‌سازی و آماده‌سازی تحویل: فایل‌های مخرب به همراه یک فایل PDF بی‌ضرر در قالب یک فایل ZIP بسته‌بندی می‌شوند تا به عنوان یک فایل فیشینگ ارسال شوند.

این اسکریپت به‌طور خودکار فرآیند ایجاد و تحویل فایل‌های مخرب را ساده‌سازی می‌کند و به‌عنوان ابزاری برای شبیه‌سازی حملات مبتنی بر CVE-2025-33053 عمل می‌کند.

آدرس IP سرور مهاجم را یادداشت کنید (ip a).

گام 2: فایل .zip تولیدشده شامل فایل url. را به سیستم هدف تحویل دهید.

گام 3: وقتی قربانی فایل zip. را استخراج کرده و فایل url. را باز می‌کند، مسیر Working Directory به WebDAV مهاجم تنظیم می‌شود.

گام 4: ابزارهای ویندوز مانند iediagcmd.exe فایل‌های کمکی (route.exe, netsh.exe, و غیره) را از مسیر مهاجم اجرا می‌کنند، نه سیستم محلی، که منجر به RCE می‌شود.

گام 5: Loader مهاجم (مثلاً Horus Loader) اجرا شده و امکان پایداری و کنترل از راه دور را فراهم می‌کند.

نتیجه ایده آل و امن

ویندوز باید فقط فایل‌های معتبر سیستم را از دایرکتوری‌های محلی اجرا کند. فایل‌های url. نباید اجازه تغییر مسیر Working Directory و اجرای کد دلخواه را بدهند.

تحلیل فنی

آسیب‌پذیری CVE-2025-33053 ناشی از رفتار پیش‌فرض ویندوز هنگام باز کردن فایل‌های url. است. مهاجم با ایجاد یک فایل url. مخرب که Working Directory آن به یک WebDAV تحت کنترل مهاجم اشاره دارد، می‌تواند سیستم قربانی را وادار به اجرای فایل‌های کمکی از مسیر مهاجم کند. این فرآیند بدون هیچ تعامل کاربر انجام می‌شود و زمینه‌ای برای اجرای کد دلخواه، پایداری، حرکت جانبی در شبکه و اجرای بدافزارهای پیچیده فراهم می‌کند.

رفع مشکل

اعمال پچ مایکروسافت منتشرشده در Patch Tuesday، 10 ژوئن 2025
نصب KBهای امنیتی مرتبط با نسخه ویندوز
محدود یا غیرفعال کردن WebDAV از شبکه‌های غیرقابل اعتماد
استفاده از Whitelisting برنامه‌ها برای جلوگیری از اجرای فایل‌ها از طریق handler فایل‌های url.
آموزش کاربران به عدم باز کردن فایل‌های url. یا shortcutهای ناشناس
استفاده از EDR و ابزارهای Endpoint برای شناسایی مسیرهای پردازش غیرمعمول و جلوگیری از اجرای غیرمجاز

زنجیره حمله پیشنهادی

در تصویر زیر، زنجیره حمله نمونه مرتبط با این آسیب‌پذیری نشان داده می‌شود:

منابع

CVE-2025-33053 – WebDAV RCE via Internet Shortcut Files

CVE ID: CVE-2025-33053
Severity: Critical (RCE)
Affected Systems:

Windows versions that allow WebDAV and .url file launching (e.g., via iediagcmd.exe tooling).
The vulnerability exists across both supported and out-of-support versions that remain unpatched.

Tested On: Various Windows 10, 11, and Server editions (pre-patch).

References:

Description

An unauthenticated network attacker can exploit external control of file name or path in Internet Shortcut Files (.url) used with WebDAV. By crafting a .url file that sets the working directory to a malicious WebDAV share, a legitimate Windows tool (such as iediagcmd.exe) may execute attacker-hosted binaries (e.g., route.exe) instead of system ones, resulting in remote code execution.

Prerequisites

Victim system running a vulnerable version of Windows with WebDAV enabled.
Ability to deliver a crafted .url file to the victim (e.g., via phishing or malicious archive).
Attacker-controlled WebDAV server hosting malicious binaries.

Proof of Concept (PoC)

On the attacker machine, run the payload setup:
```
python3 setup_webdav_payload.py
```
Use ip a to note the attacker server IP.
Deliver the generated .zip file containing the crafted .url file to the target machine.
When the victim extracts the .zip and opens the .url file, the working directory is set to the WebDAV share.
Windows tools such as iediagcmd.exe execute helper binaries (route.exe, netsh.exe, etc.) from the attacker’s share instead of the local system, leading to RCE.
The attacker’s loader (e.g., Horus Loader) executes, enabling persistence and remote control.

Expected Result

Windows should only execute trusted system binaries from local directories.
.url files should not allow arbitrary working directory manipulation leading to code execution.

Mitigation

Apply Microsoft’s patch released on June 10, 2025 (Patch Tuesday).
Install the corresponding KB security updates for your Windows version.
Restrict or disable WebDAV functionality, especially from untrusted network segments.
Implement application whitelisting to block execution of binaries launched via .url handlers.
Train users not to open untrusted .url or shortcut files.
Use EDR/endpoint protections that monitor for anomalous process paths and block unauthorized execution.

Detection

Monitor iediagcmd.exe launching non-system binaries from WebDAV or external paths.
Look for suspicious child processes such as route.exe, netsh.exe, or ipconfig.exe executed from non-standard locations.
Implement Sysmon rules or Elastic detection content focusing on anomalous process trees.

Post-Incident Response

Isolate affected systems immediately.
Collect forensic evidence: event logs, Sysmon traces, memory images.
Re-image compromised devices.
Review logs for suspicious authentications or WebDAV share activity.

Disclaimer

This information and PoC are provided for educational and research purposes only. Do not use in production environments without explicit authorization. The author assumes no responsibility for misuse or damages resulting from applying this knowledge.

بررسی آماری آسیب پذیری CVE-2025-33053 در کشور ایران

محصول آسیب پذیر: Windowns 10, 11, Server

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

در ایران بازار دسکتاپ ویندوز به‌وضوح تحت سلطه نسخه‌های کلاسیک است: طبق داده‌های اندازه‌گیریِ اخیر، Windows 10 تقریباً 63.6% و Windows 11 حدود 19.8% از نصب‌های ویندوز دسکتاپ در ایران را تشکیل می‌دهند. این آرایش نسخه‌ای نشان می‌دهد سازمان‌ها و کاربران ایرانی هنوز در مسیر مهاجرت به Windows 11 نیستنددر لایه سرور، تحلیل حضور وب‌سرورها نشان می‌دهد که هزاران سایت ایرانی فهرست‌شده توسط BuiltWith بر مبنای IIS اجرا می‌شوند؛ این عدد نشان‌دهنده حضور معنادار Windows Server در اکوسیستم میزبانی وب ایران است، هرچند نماینده سهم کاملِ سرورهای سازمانی نیست.

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش	دورک	موتور جستجو
975000	site:.ir “windows 10”	Google
2100000	“ویندوز 10”	Google
15600000	site:.ir “windows 10”	Bing
601000	site:.ir “windows 11”	Google
999000	“ویندوز 11”	Google
13800000	site:.ir “windows 10”	Bing
449000	site:.ir “windows Server”	Google
259000	“ویندوز سرور”	Google
2750000	site:.ir “windows server”	Bing

وضعیت استفاده در ایران بر اساس اسکنرهای اینترنتی

بر اساس اسکنر دستگاه های متصل به اینترنت شودان (Shodan.io) نتایج زیر برای این سه محصول وجود دارد.

تعداد	دورک شودان
10475	windows 10 Country:IR
2478	windows 11 Country:IR
25955	windows server Country:IR

وجود نمایندگی در ایران

شرکت مایکروسافت دفتر رسمی یا نمایندگی کشور در ایران ندارد و بسیاری از سرویس‌های آنلاین و فروش مستقیم برای کاربران/شرکت‌های مستقر در ایران محدود یا در دسترس نیستند. این وضعیت به‌معنای آن است که دسترسی به محصولات و خدمات مایکروسافت در ایران معمولاً از طریق شرکای تجاری، توزیع‌کنندگان ثالث یا راهکارهای منطقه‌ای تامین می‌شود.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران
Windows 10
در ایران، Windows 10 همچنان نسخه غالب در بین دسکتاپ‌های ویندوز است و نزدیک به ۶۳–۶۴٪ از ترافیک/نصب‌های دسکتاپ ویندوز را در بر می‌گیرد؛ این نشان می‌دهد حجم بزرگی از کاربران سازمانی و خانگی هنوز روی پلتفرم کلاسیک متمرکزند.
Windows 11
Windows 11 در ایران رشدی قابل‌توجه دارد اما هنوز عقب‌تر از Windows 10 است و حدود ۲۰٪ از دسکتاپ‌های ویندوز را پوشش می‌دهد؛ این الگوی پذیرش نشان‌دهنده روند مهاجرت تدریجی به نسخۀ جدید است که به‌دلیل محدودیت‌های سخت‌افزاری و الزامات نصب کند‌تر پیش می‌رود.
Windows Server
در لایه سرور، شاخص‌های میدانی نشان می‌دهد حضور Windows Server در اکوسیستم میزبانی وب ایران معنادار است — فهرست‌های BuiltWith بیش از ده هزار سایت تحت IIS در ایران ثبت کرده‌اند که دال بر استفاده مشهود Windows Server (یا میزبانی مبتنی بر تکنولوژی مایکروسافت) در خدمات وب کشور است؛ این عدد به‌عنوان شاخصی برای حضور Windows Server در میزبانی وب داخلی تلقی می‌شود هرچند سهم دقیقِ تمام سرورهای سازمانی نیازمند inventory داخلی است.

منابع

CVE-2025-33053

Web Distributed Authoring And Versioning (WEBDAV) Remote Code Execution Vulnerability

Description

Prerequisites

Proof of Concept (PoC)

Expected Result

Mitigation

Detection

Post-Incident Response

Disclaimer

CVE-2025-23192

CVE-2025-33071

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ