CISA ostrzega przed krytyczną luką w SMB na Windowsach
Autor. Angel Bena / Pexles / Free to use
CISA wydała pilne ostrzeżenie dotyczące krytycznej luki w protokole SMB w systemach Windows, umożliwiającej eskalację uprawnień. Jej wykorzystanie może pozwolić cyberprzestępcom na przejęcie kontroli nad zaatakowanym urządzeniem.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) informuje, że cyberprzestępcy aktywnie wykorzystują poważną lukę w zabezpieczeniach Windows SMB, sklasyfikowaną jako CVE-2025-33073, która umożliwia eskalację uprawnień i pozwala uzyskać uprawnienia na niezałatanych systemach.
Problem dotyczy niewłaściwej kontroli dostępu i stanowi realne zagrożenie eskalacji uprawnień w systemie operacyjnym. BleepingComputer zaznacza, że podatność dotyczy wszystkich wersji Windows Server oraz Windows 10, a także systemów Windows 11 do wersji Windows 11 24H2.
Microsoft usunął tę lukę w ramach aktualizacji Patch Tuesday w czerwcu 2025 r., ujawniając jednocześnie, że jej przyczyną jest błąd niewłaściwej kontroli dostępu. Wiele podmiotów jednak nie zainstalowało aktualizacji, dlatego wciąż może być skutecznie wykorzystywana.
Luka umożliwia atakującym zmuszenie urządzenia ofiary do nawiązania połączenia SMB z serwerem kontrolowanym przez napastnika. W efekcie możliwe jest obejście zabezpieczeń i uzyskanie nieautoryzowanego dostępu do systemu.
SMB od lat na celowniku cyberprzestępców
Jak podaje portal cybersecuritynews.com, luka CVE-2025-33073 wpisuje się w historię słabości związanych z protokołem SMB, który od czasów ataku WannaCry w 2017 r. pozostaje atrakcyjnym celem dla cyberprzestępców.
SMB (Server Message Block) to protokół sieciowy używany w systemach Windows do udostępniania plików, drukarek i innych zasobów w sieci lokalnej. Umożliwia komputerom komunikację oraz współdzielenie danych i usług w ramach jednej infrastruktury.
Obecnie wykorzystywana technika przypomina schematy działania grup ransomware, takich jak np. LockBit. W najnowszej kampanii atakujący stosują metody inżynierii społecznej lub tzw. drive-by downloads, aby uruchomić złośliwy kod. Po aktywacji klient SMB komunikuje się z serwerem atakującego, omijając standardowe mechanizmy ochronne.
Rekomendowane działania zaradcze
CISA zaleca podjęcie następujących kroków:
- natychmiastowe zastosowanie poprawek bezpieczeństwa udostępnionych przez Microsoft;
- przeprowadzenie skanowania podatności narzędziami takimi jak Nessus lub Qualys;
- wyłączenie nieużywanych wersji protokołu, szczególnie SMBv1;
- egzekwowanie zasady najmniejszych uprawnień (PoLP);
- monitorowanie anomalii za pomocą rozwiązań EDR (np. CrowdStrike, SentinelOne) oraz Windows Defender.
Czytaj też
SMB - cichy wektor ataku
Eksperci wskazują, że luka wykorzystuje domyślne konfiguracje klienta SMB, co zwiększa ryzyko masowego ataku.
W obliczu rosnącej liczby incydentów z udziałem SMB, priorytetowe zabezpieczenie tego protokołu staje się koniecznością, a nie opcją. Luka CVE-2025-33073 stanowi realne zagrożenie dla organizacji korzystających z Windows SMB.
Jej aktywne wykorzystywanie wymusza pilne działania naprawcze. W świecie coraz bardziej wyrafinowanych zagrożeń, szybka reakcja i odpowiednia konfiguracja usług sieciowych to klucz do minimalizacji ryzyka.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?