Один сбой в SMB — и весь домен под контролем. Cрочно обновите Windows из-за нового бага
NewsMakerДыру добавили в список активно эксплуатируемых. Через неё уже взламывают Windows 10, 11 и серверы.
Американское агентство по кибербезопасности CISA включило уязвимость в компоненте Windows SMB в каталог активно эксплуатируемых (Known Exploited Vulnerabilities, KEV). Недостаток механизма контроля доступа, отслеживаемый под идентификатором CVE-2025-33073 , позволяет атакующим получать привилегии уровня SYSTEM через сеть. По данным экспертов, эксплуатация уже наблюдается в реальных атаках, а готовые эксплойты доступны публично. Проблема затрагивает все версии Windows, на которых не установлено обновление безопасности, выпущенное Microsoft в июне 2025 года.
Протокол SMB (Server Message Block) — один из базовых элементов сетевого взаимодействия Windows, обеспечивающий обмен файлами, доступ к папкам и принтерам, а также работу корпоративных хранилищ и систем синхронизации данных. Через него компьютеры обмениваются информацией внутри локальных сетей и доменов. Нарушение работы этого протокола способно привести к масштабному заражению инфраструктуры и несанкционированному доступу к конфиденциальным ресурсам.
Серьёзность уязвимости оценивается в 8,8 балла из 10 по шкале CVSS. Microsoft предупреждает , что при успешной атаке злоумышленник получает полный контроль над системой, включая возможность установки приложений, изменения параметров конфигурации и кражи личных данных. Компания уточняет, что компрометация возможна, если пользователь подключится к специально подготовленному вредоносному SMB-серверу, который при установлении соединения выполняет произвольный код от имени операционной системы.
Как отмечают специалисты, эксплуатация уязвимости не требует высокой квалификации . Для получения максимальных прав достаточно заставить целевой компьютер установить обратное соединение с атакующим сервером по SMB и пройти процедуру аутентификации. Если SMB-подпись (SMB signing) не активирована на уровне политики безопасности, компрометация происходит практически без сопротивления. По оценке компании Synacktiv, уязвимость позволяет аутентифицированному пользователю выполнять команды с правами SYSTEM на любом устройстве, где SMB signing не включён.
Аналогичные выводы сделали в RedTeam, подтвердив наличие дефекта в Windows 10, 11 и серверных редакциях, выпущенных с 2019 по 2025 год. Эксплойты уже опубликованы на GitHub, что значительно облегчает проведение атак и повышает риск масштабного распространения. Киберпреступники используют эту ошибку для горизонтального перемещения по доменной сети, получая контроль над другими узлами и административными учётными записями.
CISA предписала всем федеральным ведомствам немедленно установить обновления безопасности, обозначив крайний срок — 10 ноября 2025 года. Агентство предупреждает, что эксплуатация CVE-2025-33073 представляет серьёзную угрозу для инфраструктуры и может привести к полному захвату систем без применения патча. Эксперты рекомендуют администраторам убедиться, что SMB-подпись включена на всех серверах, ограничить доступ к порту службы на уровне сети и своевременно обновить все узлы домена, чтобы предотвратить удалённое выполнение кода и эскалацию привилегий .
Американское агентство по кибербезопасности CISA включило уязвимость в компоненте Windows SMB в каталог активно эксплуатируемых (Known Exploited Vulnerabilities, KEV). Недостаток механизма контроля доступа, отслеживаемый под идентификатором CVE-2025-33073 , позволяет атакующим получать привилегии уровня SYSTEM через сеть. По данным экспертов, эксплуатация уже наблюдается в реальных атаках, а готовые эксплойты доступны публично. Проблема затрагивает все версии Windows, на которых не установлено обновление безопасности, выпущенное Microsoft в июне 2025 года.
Протокол SMB (Server Message Block) — один из базовых элементов сетевого взаимодействия Windows, обеспечивающий обмен файлами, доступ к папкам и принтерам, а также работу корпоративных хранилищ и систем синхронизации данных. Через него компьютеры обмениваются информацией внутри локальных сетей и доменов. Нарушение работы этого протокола способно привести к масштабному заражению инфраструктуры и несанкционированному доступу к конфиденциальным ресурсам.
Серьёзность уязвимости оценивается в 8,8 балла из 10 по шкале CVSS. Microsoft предупреждает , что при успешной атаке злоумышленник получает полный контроль над системой, включая возможность установки приложений, изменения параметров конфигурации и кражи личных данных. Компания уточняет, что компрометация возможна, если пользователь подключится к специально подготовленному вредоносному SMB-серверу, который при установлении соединения выполняет произвольный код от имени операционной системы.
Как отмечают специалисты, эксплуатация уязвимости не требует высокой квалификации . Для получения максимальных прав достаточно заставить целевой компьютер установить обратное соединение с атакующим сервером по SMB и пройти процедуру аутентификации. Если SMB-подпись (SMB signing) не активирована на уровне политики безопасности, компрометация происходит практически без сопротивления. По оценке компании Synacktiv, уязвимость позволяет аутентифицированному пользователю выполнять команды с правами SYSTEM на любом устройстве, где SMB signing не включён.
Аналогичные выводы сделали в RedTeam, подтвердив наличие дефекта в Windows 10, 11 и серверных редакциях, выпущенных с 2019 по 2025 год. Эксплойты уже опубликованы на GitHub, что значительно облегчает проведение атак и повышает риск масштабного распространения. Киберпреступники используют эту ошибку для горизонтального перемещения по доменной сети, получая контроль над другими узлами и административными учётными записями.
CISA предписала всем федеральным ведомствам немедленно установить обновления безопасности, обозначив крайний срок — 10 ноября 2025 года. Агентство предупреждает, что эксплуатация CVE-2025-33073 представляет серьёзную угрозу для инфраструктуры и может привести к полному захвату систем без применения патча. Эксперты рекомендуют администраторам убедиться, что SMB-подпись включена на всех серверах, ограничить доступ к порту службы на уровне сети и своевременно обновить все узлы домена, чтобы предотвратить удалённое выполнение кода и эскалацию привилегий .