Thought Leadership
Die US-Cybersicherheitsbehörde CISA warnt vor aktiver Ausnutzung einer Schwachstelle im Windows-SMB-Protokoll. Angreifer können sich damit SYSTEM-Rechte verschaffen.
Die Cybersecurity and Infrastructure Security Agency (CISA) der USA schlägt Alarm: Eine als hochkritisch eingestufte Sicherheitslücke im Windows-SMB-Protokoll wird mittlerweile aktiv für Angriffe ausgenutzt. Die unter der Kennung CVE-2025-33073 geführte Schwachstelle ermöglicht es Angreifern, ihre Berechtigungen bis auf SYSTEM-Ebene auszuweiten – die höchste Privilegienstufe in Windows-Systemen.
Alle Windows-Versionen betroffen
Betroffen sind sämtliche Versionen von Windows Server und Windows 10 sowie Windows-11-Systeme bis einschließlich Version 24H2. Microsoft hatte die Sicherheitslücke bereits im Juni 2025 im Rahmen des monatlichen Patch Tuesday geschlossen und dabei auch technische Details zur Schwachstelle offengelegt.
Die Ursache liegt in einer fehlerhaften Zugriffskontrolle, die es authentifizierten Angreifern ermöglicht, ihre Rechte über das Netzwerk hinweg zu erhöhen. Der Angriffsvektor setzt voraus, dass ein Opfer dazu gebracht wird, sich mit einem vom Angreifer kontrollierten Server zu verbinden.
So funktioniert der Angriff
“Der Angreifer könnte ein Opfer dazu verleiten, sich mit einer vom Angreifer kontrollierten bösartigen Anwendung, beispielsweise einem SMB-Server, zu verbinden”, erläutert Microsoft in einem Sicherheitshinweis. “Bei der Verbindungsherstellung könnte der bösartige Server das Protokoll kompromittieren.”
Konkret kann ein Angreifer mithilfe eines speziell präparierten Skripts das Opfersystem dazu zwingen, eine Verbindung zum Angriffssystem aufzubauen und sich per SMB zu authentifizieren. Dies führt zur Rechteausweitung auf dem kompromittierten System.
Informationen bereits vor Patch öffentlich
Bereits zum Zeitpunkt der Veröffentlichung des Patches waren Informationen über die Schwachstelle öffentlich zugänglich. Microsoft hat bislang jedoch nicht offiziell bestätigt, dass CVE-2025-33073 aktiv ausgenutzt wird – die CISA geht jedoch von aktiven Angriffen aus.
Die Entdeckung der Schwachstelle geht auf mehrere Sicherheitsforscher zurück, darunter Keisuke Hirata von CrowdStrike, Wilfried Bécard von Synacktiv, Stefan Walter von SySS GmbH, James Forshaw vom Google Project Zero sowie RedTeam Pentesting GmbH.
Behörden müssen bis 10. November patchen
Die CISA hat CVE-2025-33073 in ihren Katalog bekanntermaßen ausgenutzter Schwachstellen aufgenommen. US-Bundesbehörden haben nun bis zum 10. November Zeit, ihre Systeme abzusichern.
Obwohl diese Direktive formell nur für Bundesbehörden gilt, appelliert die CISA eindringlich auch an Unternehmen und Organisationen des privaten Sektors, die Sicherheitslücke schnellstmöglich zu schließen.
“Solche Schwachstellen werden häufig als Angriffsvektoren von böswilligen Cyber-Akteuren genutzt und stellen erhebliche Risiken dar”, warnte die CISA am Montag. Details zu konkreten Angriffen hat die Behörde bislang nicht veröffentlicht.
Betroffene sollten umgehend die im Juni 2025 veröffentlichten Sicherheitsupdates von Microsoft installieren, sofern dies noch nicht geschehen ist.
