Windows Network Schwündestelle CVE-2025-33073 (Kerberos reflektiert Relay Attack) beruht es und Windows Blog

[English]Am 10. Juni 2025 machte Microsoft CVE 2025-33073 auch die Schwachstelle für Windows. Redteam Pentlocol fand im Januar 2025 einen Schwachpunkt im Kerberos -Netzwerkprotokoll. Es gibt auch Windows -Administratoren, die wichtig sind.

Kerberos Relais reflektierender Angriff

In Windows werden mehrere Netzwerkprotokolle verwendet, und ihre Schwächen können für Angriffe verwendet werden. Es war ein Klassiker und Angriffe gegen das NTLM -Relais über den Schwächen. In der Vergangenheit hat Microsoft im NTLM-Protokoll viel gelöst (siehe beispielsweise mit Microsoft Fixed (Petitpotam) NTLM-Release (CVE-2022-26925) mit Windows Mai 2022-Update.

Es gibt auch einen Beitrag zu KB5005413: NTLM -Relaisangriffe zu Active Directory Certification Services (AD CS), was erklärt, wie Administratoren vor NTML -Relay -Angriffen schützen. Seit 2008 ist es nicht möglich, zum Wirt zurückzukehren (reflektierend) (reflektierend) (siehe MS08-068).

2025. Zu Beginn des Jahres fragten Sicherheitsforscher von Redteam Pentesting GmbH, ob Windows Kerberos gegen das Protokoll angegriffen werden könne. Dann fand die Gruppe den schwachen Punkt 2025-33077 in Kerberos-Netzwerkprotokollen in der Windows-Implementierung.

Netzwerkteilnehmer können für Netzwerkteilnehmer in einer Domäne (beschrieben von Sicherheitsforschern in diesem Artikel) möglich sein, jeden Windows -Host über ein SMB zu authentifizieren. Hosts können an das Computerkonto von Kerberos -Karte gesendet werden, das angezeigt wird. Dies bedeutet, dass die angeforderten Instanzen nur Microsoft haben, um alle NTLM -Beschränkungen zu vermeiden, die jetzt Windows festgelegt haben. Es enthält sicherlich die Berechtigungen der Behörde \ Systeme und daher die Option, den Remote Code (RCE) auszuführen.

Windows -Relais von Kerberos Staffel; Quelle: Redteam Pentesting GmbH

Die obige Abbildung zeigt den Prozess: Der Computer des Angreifers als Domänenmitglied, das Zugriff auf Windows Network haben muss, benötigt eine Kerberos -Karte für die Remote -Prozedur (RPC) zur Authentifizierung. Der Angreifer versucht, den Windows -Host über den RPC Herener zu vertreiben.

Bei der Ko-Bildung des RPC wird der Angreifer als RPC-Aufruf für eine Windows-Host-Sicherheitslücke verwendet.

Bei Schwachstellen, CVE-2025-33073 (Windows SMB-Client-Schwäche-Privileger-Kunde), muss der RPC-Zwangsaufruf von Windows Host auf die SMB-Verbindung reagieren und die Kerberos-Kartenauthentifizierung übertragen. Der Angreifer spiegelt dann diese Kerberos -Karte wider krbrelayx.py Zurück zum Host und erhielt daher die Privilegien des oben genannten Systems. Daher wird der Anstieg des Privilegs (Klettern des Privilegs) für das Konto verwendet, obwohl der Computer des Angreifers eine Domäne sein muss.

In Krbrelayx Wenn es ein Tool für Programme mit Programmen mit “Missbrauch” -Programmen des Kerberos -Protokolls gibt, hat es auch das oben erwähnte Python -Programm. Die Verwendung von Kerberos unter Verwendung von Krbelayx Skerberos -Relais wird im Preleviärer -Reforming im SMB -Crbrelayx beschrieben.

Details CVE-2025-33073 Details zu Schwachpunkten

Sicherheitsforscher beschreiben in einem Weißbuch Kerberos Relais reflektierender Angriff Details dieses Angriffs. Dieses weiße Buch sollte zu dem Zeitpunkt, als dieser Blog -Beitrag im Kerberos -Staffelangriff widerspiegelte, als PDF verknüpft werden.

Entdeckungszeitprozess zum Ausscheiden CVE-2025-33073

GmbH am 30. Januar 2025 sagte Microsoft am 7. März 2025. Microsoft bestätigte, dass Microsoft “wichtig” ist, und bestätigte dann CVE-2025-33073 CVE-2025-33073 CVE-2025777777. Die Fahrer erhielten einen Boundy -Bupus von 5.000 US -Dollar.

CVE-2025-33073 Insgesamt fünf Sicherheitsgruppen stellten fest, dass der Schwachpunkt unabhängig festgestellt wurde. Dies ermöglicht es uns, Privilegien zu erhöhen und als wichtig zu klassifizieren. Microsoft sieht “kleine” Ausbeutung. Fünf Gruppen, die sich mit einem Schwachpunkt treffen, weist darauf hin, dass Redteam Pentesting GmbH wahrscheinlich zutreffen wird (etwas in der Luft).

Am Dienstag, den 10. Juni 2025, hat Microsoft den Schwachpunkt mit den üblichen Windows -Sicherheits -Updates festgelegt. Er gab die Details am 10. Juni 2025 bekannt. Am 4. Juni 2025 berichtete Redteam Pentesting GmbH am 11. Juni 2025 nach der internen Diskussion der Offenlegung.

Sicherheitsnotiz für Windows -Administratoren

Für Administratoren in Geschäftsumgebungen (private Nutzer sind nicht beschädigt) sind die tieferen Details der Schwachstelle oder der Ausbeutung weniger interessant. Insbesondere hier interessiert sich, welche Systeme beeinflussen, welche Auswirkungen schwach sind und wie man sie löscht. Ich versuche, die wichtigsten Aspekte unten herauszunehmen.

Die erste Vorinformation von DFN-Cert

Bereits, am Freitag, dem 6. Juni 2025 Senasa-2025-33073 (wichtig [important] Klassifizierung, CVSS 8.8) in Microsoft Windows. Diese Microsoft -Sicherheitslücke wird am 10. Juni 2025 geschlossen.

Sollte schnell ausgehandelt werden

Auch GmbH Redteam hat eine Bewertung eines erfahrenen Angreifer durch die Reverse Engineering, mit der das Patch für einige Stunden analysiert werden kann, und Exploits können in kurzer Zeit oder sogar verfügbar entwickelt werden. Die lange Wartezeit auf Administratoren werden in Windows -Umgebungen angezeigt, bis es angemessen ist. Die bereitgestellten Windows -Sicherheits -Updates werden in den am Ende des Artikels aufgeführten Patches verwiesen. Es kann auch Hinweise auf mögliche Probleme geben.

Sicherheitsberatung

Wenn dieser Blog-Beitrag öffentlich ist, sollte die vollständige Sicherheitsberatung von RT-SA-2025-002 bei Repteam Pentesting GmbH verfügbar sein. Die Kurzversion ist: Redteam Pentesting hat eine Wiederholen Sie das Kerberos -Relais-Tropox hat Verzeichnisanlagen -Benutzer mit geringen Berechtigungen entwickelt, die Rechte des NT -Behörde \ Systems, Computer in Domänenfenstern zu erwerben.

Bei CVE-2025-33073 Schwachpunkten handelt es sich um alle Windows-Hosts, die zu einer Domäne gehören und keine SMB-Eingangsverbindungen benötigen. Im Standardwettbewerb sind alle Windows 10 -Versionen bis 22H2 sowie alle Windows 11 -Versionen von 23H2 enthalten. Darüber hinaus werden alle Windows Server -Versionen durch Windows Server 2025 (24H2), wenn nicht Domänencontroller, beschädigt.

Mögliches Meilen -SMB -Unterschriften

Wie bereits erwähnt, sollten Administratoren Sicherheitsupdates installieren, die von Microsoft am 10. Juni 2025 bereitgestellt werden, um die Schwachen zu schließen. Das obligatorische SMBK ist auch die Option zur Bestimmung der obligatorischen SMB -Unterzeichnung für Windows -Clients und -Invers (nicht sofort zu patchen). Microsoft -Support -Beitrag kann durch Gruppenanweisungen für die Signaturübersicht des Server -Nachrichtenblocks durchgeführt werden. Einige veraltete Systeme / Anwendungen unterstützen jedoch keine SMB -Signaturen, weshalb es möglicherweise keine Option ist.

Ähnliche Artikel:
Zusammenfassung der Microsoft Security Update (10. Juni 2025)
Patchday: Windows 10/11 Updates (Juni 2025)
Patchday: Windows Server -Updates (10. 2025 Junts)
Patchday: Microsoft Office Updates (10. 2025 Juni)

Windows 10/11: Vorschau -Updates 27. / 28. Mai 2025
2025 Juni-Patchay wird Windows CVE-2025-33073 in Windows schließen