В сфере кибербезопасности выявлена критическая уязвимость в клиенте SMB (Server Message Block) Windows, которая ставит под угрозу всю инфраструктуру Active Directory. Ошибка, получившая идентификатор CVE-2025-33073, представляет собой логический изъян в обработке NTLM-отражения. Данный недостаток позволяет аутентифицированным злоумышленникам повысить свои привилегии до уровня SYSTEM и скомпрометировать контроллеры домена, что в перспективе ведет к захвату всего леса Active Directory.
Детали уязвимости
Изначально Microsoft охарактеризовала проблему как "некорректный контроль доступа в Windows SMB". Однако, по данным исследователей, реальная опасность уязвимости значительно превосходит первоначальную оценку. Её критичность подтверждается высоким баллом CVSS v3.1 - 8.8. Уязвимость затрагивает механизмы локальной аутентификации NTLM. Она позволяет злоумышленникам ретранслировать аутентификацию со скомпрометированных машин обратно на себя с правами SYSTEM, обходя традиционную защиту в виде обязательной подписи SMB.
Эксплуатация уязвимости основана на сложной технике принуждения к аутентификации. Атакующие регистрируют DNS-записи со специально сформированными данными о цели. Затем они используют методы принуждения, например, атаку PetitPotam, чтобы заставить целевые машины аутентифицироваться на контролируемых ими серверах. Когда клиент SMB Windows обнаруживает созданное DNS-имя, его библиотеки отбрасывают служебные данные, оставляя только имя хоста. После этого клиент SMB указывает серверу выполнить локальную аутентификацию NTLM. Это действие активирует ключевую ошибку: служба LSASS помещает свой токен SYSTEM в общий контекст аутентификации.
В результате, когда злоумышленники ретранслируют эту аутентификацию обратно на целевую машину, они получают привилегии SYSTEM. При этом отключение обязательной подписи SMB не требуется, поскольку сама уязвимость заключается в процессе согласования аутентификации клиентом SMB, а не в механизме проверки подписи. Следовательно, даже системы с включенной обязательной подписью SMB остаются уязвимыми при ретрансляции на такие протоколы, как LDAP и LDAPS. Это стало возможным благодаря техникам частичного удаления кода целостности сообщений, которые эксплуатируют особенности обработки аутентификации в конкретных протоколах.
Исследователи доказали, что CVE-2025-33073 позволяет проводить ранее считавшиеся невозможными межпротокольные атаки с ретрансляцией. Удаляя определенные флаги NTLMSSP, но сохраняя код целостности сообщений, злоумышленники могут перенаправлять аутентификацию SMB на службы LDAP контроллеров домена. Это открывает путь для прямого изменения объектов Active Directory. Например, атакующие могут добавлять скомпрометированные учетные записи в привилегированные группы, менять правила контроля доступа или выполнять атаки DCSync для извлечения всей базы данных учетных данных. Уязвимость также применима для атак с отражением Kerberos, создавая дополнительные векторы для атак даже в защищенных средах.
Анализ показывает, что данные методы работают в средах с принудительным использованием привязки к каналу и подписи, что делает традиционные меры защиты неэффективными. Спустя семь месяцев после публичного раскрытия уязвимости большинство организаций до сих пор не установили необходимые обновления безопасности. Специалисты по тестированию на проникновение регулярно обнаруживают уязвимые узлы в корпоративных сетях, начиная от рабочих станций и заканчивая контроллерами домена и серверами нулевого уровня. Процесс эксплуатации тривиален и использует общедоступные инструменты, такие как модифицированная версия ntlmrelayx.py с функцией частичного удаления кода целостности сообщений, что позволяет автоматизировать полный компромисс среды.
Для немедленного устранения угрозы требуется установка актуальных обновлений безопасности от Microsoft и принудительное включение подписи SMB на всех системах, входящих в домен. Кроме того, организациям необходимо обеспечить принудительное применение привязки к каналу для служб LDAP и LDAPS. Также критически важно ограничить регистрацию DNS-записей только административными учетными записями и сегментировать широковещательные домены для блокировки сетевых векторов атаки. Дополнительной мерой по снижению рисков является полный запрет аутентификации NetNTLMv1 и принудительное использование исключительно Kerberos. При этом следует учитывать, что атаки с отражением Kerberos также представляют серьезную опасность без надлежащей защиты. Данная уязвимость является фундаментальным изъяном в механизмах защиты от NTLM-отражения, а не простым обходом подписи, поэтому комплексное усиление аутентификации должно стать первоочередной задачей для всех администраторов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-33073
- https://www.depthsecurity.com/blog/using-ntlm-reflection-to-own-active-directory/
- https://www.vicarius.io/vsociety/posts/cve-2025-33073-detection-script-improper-access-control-in-windows-smb-affects-microsoft-products
- https://www.vicarius.io/vsociety/posts/cve-2025-33073-mitigation-script-improper-access-control-in-windows-smb-affects-microsoft-products
