紧急!SMB漏洞让攻击者获取SYSTEM级权限
美国网络安全和基础设施安全局(CISA)就Windows服务器消息块(SMB)中的一个高危权限提升漏洞发出警告,该漏洞现已被积极利用。这个被追踪为CVE-2025-33073的漏洞可能允许攻击者在易受攻击的系统上获得SYSTEM权限,因此应用必要的补丁至关重要。
漏洞详情
CVE-2025-33073是一个高危漏洞,影响所有版本的Windows Server和Windows 10,以及最高到24H2版本的Windows 11系统。该漏洞的根本原因在于SMB协议内的访问控制不当弱点,允许恶意行为者在网络上提升其权限。
微软在2025年6月补丁星期二发布中解决了此漏洞。根据其公告,攻击者可以通过诱骗受害者连接到恶意SMB服务器来利用此缺陷。连接后,攻击者控制的服务器可能会破坏协议,可能导致权限提升。
攻击场景涉及攻击者执行特制的恶意脚本,强制受害机器使用SMB连接回攻击者的系统并进行身份验证。成功利用可能导致攻击者获得提升的权限,可能完全控制受感染系统。
受影响系统
此漏洞影响广泛的微软操作系统,包括:
- Windows Server
- Windows 10
- Windows 11(最高到24H2版本)
CISA行动和建议
CISA已将此缺陷添加到其已知被利用漏洞目录中,强调了修复的紧迫性。根据具有约束力的操作指令(BOD)22-01的要求,联邦民事行政部门机构必须在2025年11月10日前保护其系统。
虽然BOD 22-01专门针对联邦机构,但CISA强烈鼓励所有组织(包括私营部门)尽快优先修补这个被积极利用的漏洞。该机构强调,此类漏洞经常被恶意网络行为者用作攻击向量,构成重大风险。
战术、技术和程序(TTPs)
CVE-2025-33073的利用与攻击者常用的几种战术、技术和程序(TTPs)一致,如MITRE ATT&CK框架所定义:
- TA0004 - 权限提升:攻击者利用该漏洞在系统上获得更高级别的权限,可能实现SYSTEM级访问。
- TA0001 - 初始访问:攻击者可能使用社会工程学或其他方法诱使用户连接到恶意SMB服务器,从而获得系统的初始访问权限。
- T1068 - 利用进行权限提升:这涉及利用**漏洞来提升权限。
- T1210 - 利用远程服务:攻击者利用SMB等可远程访问服务中的漏洞来获得未经授权的访问或提升权限。
缓解措施和建议
主要的缓解步骤是应用微软在2025年6月补丁星期二发布的安全更新。组织应优先修补所有受影响的系统,包括Windows Server、Windows 10和Windows 11安装。鉴于该漏洞正在被积极利用,尽快实施此补丁至关重要。
使用Saner补丁管理即时修复风险
Saner补丁管理是一个连续、自动化和集成的软件,可即时修复在野外被利用的风险。该软件支持主要操作系统,如Windows、Linux和macOS,以及550多个第三方应用程序。
它还允许您设置安全测试区域,在主生产环境中部署补丁之前测试补丁。Saner补丁管理还支持在补丁失败或系统故障时回滚补丁的功能。