Beobachtungen
Die US-amerikanische Cybersecurity and
Infrastructure Security Agency (CISA) hat am 20. Oktober 2025 eine Schwachstelle im Windows SMB-Client (CVE-2025-33073) in ihren Katalog der bekannten, aktiv ausgenutzten
Sicherheitslücken aufgenommen.
Die Lücke betrifft die Art und Weise, wie Windows den Aufbau von SMB-Verbindungen verarbeitet. Angreifer können Systeme dazu
bringen, sich mit bösartigen SMB-Servern zu verbinden und dort Anmeldedaten preiszugeben oder unbefugt Code auszuführen.
Betroffen sind verschiedene Windows-Versionen, sowohl auf Client- als auch auf Serverseite.
Methoden
Das Angriffsszenario basiert typischerweise auf sogenannten „SMB-Callbacks“: Ein kompromittiertes oder manipuliertes System veranlasst den Windows-SMB-Client, eine Verbindung zu einem vom Angreifer kontrollierten Host herzustellen. In diesem Prozess können Anmeldedaten abgefangen oder genutzt werden, um Rechte im Netzwerk zu erweitern. Da die Schwachstelle auf Protokollebene liegt, kann ein Angreifer mit Netzwerkzugriff den Angriff ohne direkte Nutzerinteraktion auslösen.
Attribution
CISA nennt bislang keine konkrete Tätergruppe, die für die Angriffe verantwortlich ist. Die Aufnahme in den Katalog der aktiv ausgenutzten Schwachstellen verdeutlicht jedoch, dass Angriffe bereits stattfinden und die Lücke in realen Kampagnen eingesetzt wird. Damit ist zu erwarten, dass auch verschiedene Cyberkriminelle und staatlich gesteuerte Akteure diese Schwachstelle aufgreifen werden.
Empfehlungen
- Updates installieren: Stellen Sie sicher, dass alle von Microsoft bereitgestellten Sicherheitsupdates zeitnah
eingespielt werden. Systeme ohne Patches sind akut gefährdet.
- SMB-Exposition prüfen: Beschränken Sie SMB-Zugriffe auf interne, vertrauenswürdige Netze. Blockieren Sie
SMB-Verbindungen ins Internet, sofern sie nicht zwingend erforderlich sind.
- Monitoring verstärken: Überwachen Sie Ihr Netzwerk auf ungewöhnliche SMB-Verbindungen, insbesondere zu
externen oder unbekannten Hosts.
- Schwachstellen priorisieren: CISA verpflichtet US-Behörden, diese Lücke fristgerecht zu schließen. Auch
in anderen Organisationen sollte sie mit höchster Priorität behandelt werden.
- Vorfallmanagement: Verdachtsfälle sollten umgehend im internen Security Incident Response Prozess bearbeitet und dokumentiert werden.