CISA警告Windows SMB漏洞遭主动利用（CVE-2025-33073）

CVE-2025-33073是一个Windows SMB客户端漏洞，微软已于2025年6月修复，但攻击者正在积极利用该漏洞。这一确认来自美国网络安全与基础设施安全局（CISA），该机构已将此漏洞添加到其已知被利用漏洞目录中，据信是基于可信报告做出的决定。

关于CVE-2025-33073

CVE-2025-33073允许权限提升，使攻击者能够在易受攻击的Windows或Windows Server系统上获得SYSTEM（最高）权限。

微软表示：“要利用此漏洞，攻击者可以执行特制的恶意脚本，强制受害机器使用SMB连接回攻击系统并进行身份验证。连接后，恶意服务器可能会破坏协议。”

攻击者还可能说服目标用户执行此脚本。

当微软发布修复程序时，曾表示该漏洞已公开披露但未被主动利用。次日，该公司将该漏洞的发现归功于多名研究人员：CrowdStrike的Keisuke Hirata；Synacktiv的Wilfried Bécard；GuidePoint Security的Cameron Stish；BNP Paribas的Ahamada M’Bamba；SySS GmbH的Stefan Walter和Daniel Isern；RedTeam Pentesting GmbH；以及Google Project Zero的James Forshaw。

其中一些研究人员还发布了有关该漏洞的技术细节。

Bécard及其同事Guillaume André指出，该漏洞"绕过了NTLM反射缓解措施，允许经过身份验证的远程攻击者在任何未强制实施SMB签名的计算机上以SYSTEM权限执行任意命令"，尽管微软认为CVE-2025-33073是权限提升漏洞，但它实际上是一个经过身份验证的远程命令执行漏洞。

其他研究人员已发布概念验证利用程序。

其他被利用的漏洞

按照惯例，CISA没有分享有关攻击的详细信息——只是指示美国联邦民事行政部门机构在2025年11月10日前进行修复。

同时，在同一时期内，各机构还被要求缓解：

• 影响Apple iOS和macOS的旧漏洞（CVE-2022-48503）
• Oracle电子商务套件中最近修补的SSRF漏洞（CVE-2025-61884），可能已被Cl0p在最近的攻击中利用
• Kentico Xperience Staging Sync Server中的两个身份验证绕过漏洞（CVE-2025-2746、CVE-2025-2747），由watchTowr研究人员发现并披露