CVE-2025-33073

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-10-20

Официальное описание

Microsoft Windows SMB Client contains an improper access control vulnerability that could allow for privilege escalation. An attacker could execute a specially crafted malicious script to coerce the victim machine to connect back to the attack system using SMB and authenticate.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-33073 кроется в механизме контроля доступа SMB-клиента Microsoft Windows. Недостаточная проверка позволяет злоумышленнику применить технику принудительной аутентификации (coercion).

Используя специально подготовленный скрипт или запрос, атакующий заставляет систему-жертву инициировать исходящее SMB-соединение на подконтрольный злоумышленнику сервер. В процессе этого подключения Windows автоматически пытается пройти аутентификацию, передавая NTLM-данные учетной записи компьютера или пользователя. Полученные данные могут быть использованы для перехвата хэшей (с последующим брутфорсом) или для проведения атаки NTLM Relay, что в конечном итоге приводит к несанкционированному доступу и повышению привилегий в инфраструктуре.

Как исправить

Единственным надежным способом полного устранения уязвимости является установка официального пакета обновлений безопасности от Microsoft, закрывающего данную брешь в SMB-клиенте.

  • Одобрите и разверните соответствующий патч (Cumulative Update) через вашу систему управления обновлениями (WSUS, SCCM, Intune).
  • Для ручной установки или обновления критичных узлов через PowerShell используйте модуль PSWindowsUpdate.
  • Установите модуль и запустите процесс обновления следующими командами:
Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если оперативная установка патча невозможна, необходимо внедрить компенсирующие меры для снижения риска эксплуатации.

  • Блокировка исходящего SMB-трафика. Запретите исходящие соединения по порту TCP 445 на периметровом брандмауэре (в сторону интернета) и ограничьте их на локальном брандмауэре Windows, разрешив доступ только к доверенным внутренним ресурсам.
  • Команда для создания запрещающего правила в Windows Defender Firewall:
New-NetFirewallRule -DisplayName "Block Outbound SMB to Untrusted" -Direction Outbound -Action Block -Protocol TCP -RemotePort 445
  • Включение обязательной подписи SMB (SMB Signing). Это предотвратит использование перехваченных сессий для атак NTLM Relay, так как злоумышленник не сможет подписать пакеты без знания самого пароля.
  • Команды для принудительного включения подписи на уровне клиента и сервера:
Set-SmbClientConfiguration -RequireSecuritySignature $true -Confirm:$false
Set-SmbServerConfiguration -RequireSecuritySignature $true -Confirm:$false
  • Ограничение исходящего NTLM-трафика. Запретите отправку NTLM-ответов на удаленные серверы, чтобы предотвратить утечку учетных данных при принудительном подключении.
  • Команда для изменения политики через реестр (значение 2 блокирует отправку NTLM-трафика удаленным серверам):
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic" -Value 2
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей