联邦机构警告已修复的Windows SMB漏洞正被活跃利用

美国网络安全监管机构发出警告，微软Windows SMB客户端中的一个高危漏洞正在被活跃利用——而此时距离该漏洞被修复已过去数月。

该漏洞编号为CVE-2025-33073，已于10月20日被列入美国网络安全和基础设施安全局（CISA）的"已知被利用漏洞"（KEV）目录，证实实际攻击者正在持续攻击活动中利用此漏洞。该漏洞在CVSS评分中达到8.8分，影响Windows 10、Windows 11（最高至24H2版本）以及所有受支持的Windows Server版本。

微软最初在2025年6月的"补丁星期二"中修复了此漏洞，并警告攻击者可通过诱使受害机器连接至恶意SMB服务器来利用该漏洞，可能导致权限提升或网络内的横向移动。

“攻击者可以说服受害者连接到攻击者控制的恶意应用程序（例如SMB）服务器。连接后，恶意服务器可能会破坏协议，“微软当时解释称。

“要利用此漏洞，攻击者可执行特制的恶意脚本，强制受害机器使用SMB回连到攻击系统并进行身份验证。这可能导致权限提升。”

根据具有约束力的操作指令22-01，CISA已命令联邦民事机构在11月10日前应用相关补丁或移除受影响系统，该指令要求及时修复已知被利用漏洞。虽然该指令仅适用于美国政府实体，但该机构敦促所有组织立即打补丁，并引用了活跃利用的证据。

微软尚未公开评论攻击的性质或范围，但CISA将该漏洞纳入其目录表明其已看到可信的入侵指标。该漏洞结合了网络可访问性和权限提升功能，对于寻求在进入目标环境后深化访问的威胁行为者特别有用。

鉴于SMB在企业文件共享和通信中近乎无处不在的作用，安全团队应检查6月的更新是否已应用于所有终端和服务器，监控异常的出站SMB流量，并限制协议向不受信任网络的不必要暴露。

此次警告发布之际，CISA又向其KEV列表添加了四个漏洞，包括另一个影响Oracle电子商务套件的漏洞。该漏洞编号为CVE-2025-61884，本月初已由Oracle修复，但该公司未说明是否在野被利用。CISA的警报表明已被利用，不过是否属于通过EBS进行渗透的更广泛Clop攻击活动尚属猜测。