Один сбой в SMB — и весь домен под контролем. Cрочно обновите Windows из-за нового бага

Американское агентство по кибербезопасности CISA включило уязвимость в компоненте Windows SMB в каталог активно эксплуатируемых (Known Exploited Vulnerabilities, KEV). Недостаток механизма контроля доступа, отслеживаемый под идентификатором CVE-2025-33073, позволяет атакующим получать привилегии уровня SYSTEM через сеть. По данным экспертов, эксплуатация уже наблюдается в реальных атаках, а готовые эксплойты доступны публично. Проблема затрагивает все версии Windows, на которых не установлено обновление безопасности, выпущенное Microsoft в июне 2025 года.

Протокол SMB (Server Message Block) — один из базовых элементов сетевого взаимодействия Windows, обеспечивающий обмен файлами, доступ к папкам и принтерам, а также работу корпоративных хранилищ и систем синхронизации данных. Через него компьютеры обмениваются информацией внутри локальных сетей и доменов. Нарушение работы этого протокола способно привести к масштабному заражению инфраструктуры и несанкционированному доступу к конфиденциальным ресурсам.

Серьёзность уязвимости оценивается в 8,8 балла из 10 по шкале CVSS. Microsoft предупреждает, что при успешной атаке злоумышленник получает полный контроль над системой, включая возможность установки приложений, изменения параметров конфигурации и кражи личных данных. Компания уточняет, что компрометация возможна, если пользователь подключится к специально подготовленному вредоносному SMB-серверу, который при установлении соединения выполняет произвольный код от имени операционной системы.

Как отмечают специалисты, эксплуатация уязвимости не требует высокой квалификации. Для получения максимальных прав достаточно заставить целевой компьютер установить обратное соединение с атакующим сервером по SMB и пройти процедуру аутентификации. Если SMB-подпись (SMB signing) не активирована на уровне политики безопасности, компрометация происходит практически без сопротивления. По оценке компании Synacktiv, уязвимость позволяет аутентифицированному пользователю выполнять команды с правами SYSTEM на любом устройстве, где SMB signing не включён.

Аналогичные выводы сделали в RedTeam, подтвердив наличие дефекта в Windows 10, 11 и серверных редакциях, выпущенных с 2019 по 2025 год. Эксплойты уже опубликованы на GitHub, что значительно облегчает проведение атак и повышает риск масштабного распространения. Киберпреступники используют эту ошибку для горизонтального перемещения по доменной сети, получая контроль над другими узлами и административными учётными записями.

CISA предписала всем федеральным ведомствам немедленно установить обновления безопасности, обозначив крайний срок — 10 ноября 2025 года. Агентство предупреждает, что эксплуатация CVE-2025-33073 представляет серьёзную угрозу для инфраструктуры и может привести к полному захвату систем без применения патча. Эксперты рекомендуют администраторам убедиться, что SMB-подпись включена на всех серверах, ограничить доступ к порту службы на уровне сети и своевременно обновить все узлы домена, чтобы предотвратить удалённое выполнение кода и эскалацию привилегий.