A CISA (Cybersecurity and Infrastructure Security Agency) legfrissebb jelentése szerint fenyegető támadók már aktívan kihasználnak egy súlyos, Windows SMB protokollt érintő jogosultságnövelési sebezhetőséget, amely lehetővé teszi számukra, hogy rendszergazdai (SYSTEM) jogosultságokat szerezzenek meg nem frissített rendszereken.
A sérülékenység részletei és érintett rendszerek
A sebezhetőség, amelyet CVE-2025-33073 azonosítóval követnek nyomon, érinti az összes Windows Server verziót, valamint a Windows 10 és Windows 11 operációs rendszereket egészen a Windows 11 24H2 kiadásáig bezárólag.
Ez a biztonsági rés egy helytelen hozzáférés-ellenőrzési mechanizmusból ered, amely lehetővé teszi, hogy egy jogosult támadó hálózaton keresztül emelje fel a jogosultságait.
Hogyan működik a támadás?
A Microsoft magyarázata szerint a támadó képes rávenni az áldozatot, hogy csatlakozzon egy általa irányított rosszindulatú alkalmazáshoz vagy SMB szerverhez. Amint az áldozat csatlakozik, a rosszindulatú szerver képes kompromittálni a protokollt.
Konkrétan: a támadó egy speciálisan megformált rosszindulatú szkriptet futtat, amely arra kényszeríti az áldozat gépét, hogy visszakapcsolódjon a támadó rendszeréhez SMB-n keresztül és hitelesítse magát. Ez a folyamat eredményezheti a jogosultságok emelését, így a támadó SYSTEM szintű hozzáférést szerezhet.
A Microsoft válasza és javítási lépések
A Microsoft 2025 júniusi Patch Tuesday frissítése során már kiadta a javítást erre a sebezhetőségre. A frissítés során azt is közölték, hogy a hiba nyilvánosan ismertté vált még azelőtt, hogy a biztonsági javítás megjelent volna.
Bár a CISA állítása szerint az aktív kihasználás már folyamatban van, ezt a Microsoft hivatalosan még nem erősítette meg nyilvánosan.
Kutatók és felfedezők
A hibát több neves biztonsági kutató fedezte fel és jelentette be, köztük:
- CrowdStrike – Keisuke Hirata
- Synacktiv – Wilfried Bécard
- SySS GmbH – Stefan Walter
- Google Project Zero – James Forshaw
- RedTeam Pentesting GmbH
CISA intézkedések és ajánlások
A CISA felvette ezt a sebezhetőséget ismert aktívan kihasznált hibák katalógusába (Known Exploited Vulnerabilities Catalog). Ennek értelmében az Egyesült Államok Szövetségi Civil Végrehajtó Ágynak (Federal Civilian Executive Branch – FCEB) három hét áll rendelkezésére, hogy november 10-ig biztosítsa rendszereit az érintett hibák javításával. Ez az előírás a Binding Operational Directive (BOD) 22-01 része.
Bár ez az irányelv csak szövetségi ügynökségekre vonatkozik, a CISA minden szervezetet – beleértve a magánszektort is – arra ösztönöz, hogy mielőbb telepítsék a javítást és védjék meg rendszereiket.
Kockázatok és következmények
Ezekhez hasonló sérülékenységek gyakori támadási vektorok rosszindulatú kibertámadók számára, és jelentős veszélyt jelentenek az egész szövetségi infrastruktúrára nézve.
A CISA hétfői figyelmeztetésében kiemelte: „Az ilyen típusú sebezhetőségek gyakori támadási pontokat jelentenek rosszindulatú kibertámadók számára és komoly kockázatot hordoznak.”
További információk és megelőzés
A Picus Blue Report 2025 című átfogó jelentése további részleteket tartalmaz megelőzésről, detektálásról és adatlopási trendekről. A jelentésből kiderül például, hogy környezetek 46%-ában történt jelszófeltörés – ez majdnem kétszerese az előző évi 25%-nak.
Szerezze be most a Picus Blue Report 2025-öt, hogy teljes képet kapjon ezekről az aktuális fenyegetésekről és védekezési stratégiákról.
Összegzés
A CVE-2025-33073 számú magas kockázatú Windows SMB jogosultságnövelési sérülékenység komoly fenyegetést jelent minden érintett rendszer számára. Az aktív kihasználás miatt elengedhetetlen minél előbbi frissítés telepítése mind vállalati, mind magánfelhasználói környezetben. A CISA és Microsoft által kiadott iránymutatások követése kulcsfontosságú lépés a rendszerek biztonságának megőrzésében.