CISA warnt vor aktiv ausgenutzter Windows-SMB-Sicherheitslücke

Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) hat eine als kritisch eingestufte Schwachstelle im Microsoft Windows Server Message Block (SMB) in ihren Katalog bekannter, aktiv ausgenutzter Sicherheitslücken aufgenommen. Nach Angaben der Behörde nutzen Angreifer die Lücke bereits aus.

Die als CVE-2025-33073 geführte Schwachstelle betrifft den Windows-SMB-Client. Täter könnten sie demnach dazu nutzen, ihre Berechtigungen auf bereits kompromittierten Systemen zu erweitern.

Hintergrund ist eine fehlerhafte Zugriffskontrolle im SMB-Client von Microsoft Windows. Über ein speziell konzipiertes bösartiges Skript könnte ein Angreifer ein Zielsystem dazu bringen, eine SMB-Verbindung zum Angriffssystem aufzubauen und sich dort zu authentifizieren — mit der Folge einer möglichen Eskalation von Rechten.

Laut einer Empfehlung der Cybersecurity and Infrastructure Security Agency (CISA) können Angreifer bösartige Skripte ausführen, die darauf abzielen, den Computer eines Opfers dazu zu bringen, sich über das SMB-Protokoll mit einem vom Angreifer kontrollierten System zu verbinden und sich dort zu authentifizieren.

Die Schwachstelle ist unter der Kennung CWE-284 klassifiziert und betrifft Mängel bei der Zugriffskontrolle. Wird sie ausgenutzt, können unbefugte Akteure Sicherheitsbeschränkungen umgehen und möglicherweise höhere Berechtigungen auf dem Zielsystem erlangen.

Diese Form der Rechteausweitung gilt als besonders kritisch, da Angreifer dadurch in der Lage sind, sich seitlich durch Netzwerke zu bewegen, auf vertrauliche Daten zuzugreifen oder nach einer ersten Kompromittierung zusätzliche Schadsoftware einzuschleusen.

CISA hat die Schwachstelle CVE-2025-33073 am 20. Oktober 2025 in ihren Katalog bekannter, aktiv ausgenutzter Sicherheitslücken aufgenommen. Damit stuft die Behörde sie als unmittelbare Bedrohung für Bundesnetzwerke und kritische Infrastrukturen ein.

Zivile Bundesbehörden sind verpflichtet, bis zum 10. November 2025 vom Hersteller bereitgestellte Sicherheitsupdates oder Abhilfemaßnahmen umzusetzen oder den Einsatz der betroffenen Produkte einzustellen. Damit bleibt den Organisationen ein Zeitraum von drei Wochen, um die Lücke zu schließen.

Diese Anweisung basiert auf der verbindlichen Betriebsrichtlinie 22-01, die Bundesbehörden verpflichtet, bekannte und ausgenutzte Schwachstellen innerhalb festgelegter Fristen zu beheben.

Obwohl die Richtlinie primär für Bundesbehörden gilt, empfiehlt die CISA allen Organisationen, den Katalog bekannter Schwachstellen regelmäßig zu prüfen und deren Behebung im Rahmen des eigenen Schwachstellenmanagements zu priorisieren.

Unternehmen, die Windows-Systeme einsetzen, sollten umgehend die Sicherheitshinweise von Microsoft überprüfen und verfügbare Patches oder empfohlene Maßnahmen implementieren. CISA rät Administratoren zudem, den Herstelleranweisungen zu folgen, die Vorgaben der BOD 22-01 auch für Cloud-Dienste anzuwenden oder den Einsatz der betroffenen Produkte zu beenden, falls keine geeigneten Gegenmaßnahmen verfügbar sind.

Derzeit ist unklar, ob CVE-2025-33073 bereits in Ransomware-Kampagnen eingesetzt wird. Da Ransomware-Gruppen häufig Schwachstellen zur Rechteausweitung nutzen, um Netzwerke zu kompromittieren, sollten Sicherheitsteams verdächtige SMB-Authentifizierungen und ungewöhnliche Netzwerkverbindungen genau überwachen.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky