WebDAV のゼロデイ脆弱性 CVE-2025-33053：APT による悪用と PoC エクスプロイトの提供

PoC Exploit Released for Critical WebDAV 0-Day RCE Vulnerability Exploited by APT Hackers

2025/06/13 CyberSecurityNews — WebDAV 実装における深刻なゼロデイ脆弱性 CVE-2025-33053 により、リモートコード実行が可能となっているが、その PoC エクスプロイト・コードが GitHub で公開されている。企業ネットワークを標的とする標的型攻撃において、APT グループによる、この脆弱性の積極的な悪用が報告されている。このエクスプロイトは、悪意の URL ショートカット・ファイルと、WebDAV サーバ・コンフィグを組み合わせ、標的へのイニシャル・アクセスと、侵害後のラテラル・ムーブメントを達成するものだ。

WebDAV における深刻なゼロデイ RCE 脆弱性

インターネット公開される WebDAV サービスを、脅威アクターたちは標的とし、広範な組織に対する攻撃キャンペーンを展開している。

この攻撃手法は、悪意の “.url” ショートカット・ファイルの展開から始まる。それらのファイルをユーザーが実行すると、攻撃者が管理する WebDAV サーバへの接続が自動的に確立される。

これらの攻撃キャンペーンは、WebDAV モジュールが有効化されている、Apache2 を実行する環境において、特に効果的であることが実証されている。それらの環境のデフォルト・コンフィグでは、不十分なアクセス制御のケースが多々あるとされている。

この脆弱性は、リモート WebDAV 共有を指す UNC (Universal Naming Convention) パスを取り込んだ、URL ショートカット・ファイルの不適切な処理に起因する。

それらのファイルに被害者がアクセスすると、Windows システムは自動的にリモート・サーバへの認証を試行し、NTLM 認証情報の漏洩や、悪意のペイロード実行が引き起こされる可能性がある。

APT グループがフィッシング攻撃を通じて、これらの武器化されたショートカットを配布していることが、セキュリティ研究者たちにより確認されている。これらのショートカットは、多くの場合において “finance_report.url” のような、文脈上の関連性の高いファイル名を持つ、正規のビジネス文書を偽装している。

PoC エクスプロイトの公開

セキュリティ研究者である DevBuiHieu が、この脆弱性の悪用メカニズムを実証する、包括的な PoC リポジトリを公開した。

このツールキットには、WebDAV インフラの構築と、悪意のショートカット・ファイルを生成する自動スクリプトが含まれている。主要なセットアップ・スクリプトである “setup_webdav.sh” は、脆弱な WebDAV コンフィグ展開を自動化するものだ。

このエクスプロイト・ツール・キットには、カスタマイズ可能なパラメータを持つ、武器化された URL ショートカット・ファイルを作成する、Python ベースのペイロード・ジェネレータ “gen_url.py” も搭載されている。

高度なコンフィグ・オプションにより、攻撃者が指定できるものには、悪意のショートカット内のカスタム実行ファイル／アイコン・ファイル／作業ディレクトリなどがある。

生成された “.url” ファイルには、UNC 表記法でリモート WebDAV パスを参照する、特別に細工された InternetShortcut セクションが含まれており、ファイルを開くと自動的な接続が試行される仕組みになっている。

通常において、これらのファイルには “WorkingDirectory=\192.168.1.100\webdav\” などのパラメータや、ソーシャル・エンジニアリングの効果を高めるための、カスタマイズ可能な IconFile パスが取り込まれている。

この PoC エクスプロイトの公開により、WebDAV サービスを利用している組織にとっての脅威の状況が、大幅に悪化するとされる。

システム管理者にとって必要なことは、Apache2 WebDAV コンフィグを直ちに監査し、不正接続を防ぐためのアクセス制御を実装することだ。

重要な緩和策として挙げられるのは、不要な “DAV” モジュールと “DAV_FS” モジュールの無効化／堅牢な認証メカニズムの実装／認証済みユーザーのみへの WebDAV アクセスの制限などである。

また、従来のウイルス対策ソリューションでは、これらの攻撃ベクターを確実に特定できない可能性があるため、悪意の URL ショートカット・ファイルを検出／隔離できるメール・セキュリティ・ソリューションの導入も重要となる。

さらに、ネットワーク監視においては、エクスプロイトの試みを示唆する、異常な UNC パス接続や WebDAV トラフィック・パターンの特定に重点を置く必要がある。

それに加えて、グループ・ポリシーの設定を確認し、自動ネットワーク認証を制限し、リモート・リソースへの不正アクセスを防止する必要もある。

WebDAV のゼロデイ RCE 脆弱性と、URL ショートカットを悪用する、攻撃キャンペーンが展開されているようです。Windows 環境の、自動 UNC 接続と NTLM 認証の連携という、とても危険な設計上の弱点を狙っているようです。それもあり、Microsoft の Patch Tuesday でも、この脆弱性にはフラグが立てられています。よろしければ、2025/06/10 の「Windows WebDAV ゼロデイ CVE-2025-33053 の悪用：APT グループ Stealth Falcon の高度な戦略」も、併せて ご参照ください。