CISA warnt: Windows-Schwachstelle wird aktiv ausgenutzt
Die US-Cybersicherheitsbehörde CISA bestätigt aktive Ausnutzung einer kritischen Windows-SMB-Schwachstelle mit CVSS-Score 8,8. Angreifer erlangen SYSTEM-Rechte, Bundesbehörden müssen bis 10. November patchen.
Die US-Cybersicherheitsbehörde CISA schlägt Alarm: Eine kritische Sicherheitslücke im Windows Server Message Block (SMB) wird bereits für Angriffe genutzt. Die Schwachstelle CVE-2025-33073 ermöglicht es Angreifern, höchste Systemrechte zu erlangen – eine ernste Bedrohung für Behörden und Unternehmen.
CISA bestätigte am Montag, dass reale Angriffe diese Schwachstelle ausnutzen und nahm sie in den Katalog bekannter ausgenutzte Schwachstellen (KEV) auf. Die Bundesbehörden müssen bis zum 10. November 2025 die notwendigen Patches installieren. Auch private Organisationen sollten diese Lücke sofort schließen.
Die Schwachstelle betrifft eine breite Palette von Microsoft-Produkten, darunter Windows 10, Windows 11 (bis Version 24H2) und alle unterstützten Windows Server-Versionen.
Kritische Lücke mit 8,8 von 10 Punkten bewertet
CVE-2025-33073 ist eine Schwäche in der Zugriffskontrolle des Windows SMB-Clients, einem Kernbestandteil für Datei- und Druckerfreigaben in Netzwerken. Mit einem CVSS-Score von 8,8 von 10 Punkten gilt sie als hochkritisch.
Microsoft veröffentlichte bereits im Juni 2025 einen Patch – doch CISAs aktueller Alarm zeigt: Angreifer nehmen nun gezielt ungepatchte Systeme ins Visier.
Ein erfolgreicher Angriff ermöglicht eine Privilegienerweiterung bis hin zur vollständigen SYSTEM-Kontrolle über den Zielrechner. Der Angriffsvektor nutzt Social Engineering: Nutzer werden dazu verleitet, sich mit einem bösartigen SMB-Server zu verbinden. „Ein Angreifer könnte ein speziell präpariertes Skript ausführen, um das Opfersystem zur Verbindung mit dem Angriffssystem über SMB zu zwingen”, erklärte Microsoft. Diese Aktion löst die Schwachstelle aus und umgeht Sicherheitsprotokolle.
Wie der Angriff funktioniert und warum er so gefährlich ist
Die Ausnutzung von CVE-2025-33073 ermöglicht es Angreifern, die bereits in ein Netzwerk eingedrungen sind, ihre Privilegien zu erweitern und sich seitlich zu bewegen. Indem sie Client-Systeme zur Verbindung mit ihrem bösartigen Server locken, kompromittieren sie das Authentifizierungsprotokoll.
Sicherheitsforscher warnen: Diese Technik kann NTLM-Reflection-Schutzmaßnahmen umgehen – eine gängige Sicherheitsverteidigung. Das macht den Angriff besonders potent.
Mit SYSTEM-Rechten haben Angreifer freie Hand: Malware installieren, sensible Daten stehlen, Ransomware verbreiten oder die Maschine als Sprungbrett für weitere Angriffe nutzen. Da SMB in praktisch allen Unternehmensumgebungen für Dateifreigaben verwendet wird, ist das Schadenspotenzial enorm.
Sicherheitsteams sollten ungewöhnliche ausgehende SMB-Verbindungen und verdächtige Authentifizierungsversuche überwachen – diese könnten auf Angriffe hindeuten.
Anzeige: Apropos Sicherheitslücken: Nicht nur PCs sind im Visier – auch Smartphones werden täglich attackiert. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android – mit einfachen Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking, PayPal & Co., ganz ohne teure Zusatz-Apps. Schützen Sie jetzt Ihr Handy, bevor Angreifer die nächste Lücke ausnutzen. Kostenloses Android-Sicherheitspaket anfordern
Koordinierte Entdeckung, verzögerte Reaktion
Die Entdeckung von CVE-2025-33073 war ein Gemeinschaftswerk: Sicherheitsforscher von CrowdStrike, Synacktiv, GuidePoint Security, SySS GmbH, Google Project Zero und RedTeam Pentesting GmbH meldeten die Schwachstelle an Microsoft.
Obwohl Microsoft den Patch bereits im Juni veröffentlichte, wurde die Schwachstelle damals öffentlich bekannt – das gab Angreifern Zeit, Exploits für ungepatchte Systeme zu entwickeln.
CISAs Aufnahme in den KEV-Katalog markiert den Übergang von einer theoretischen zu einer aktiven Bedrohung. Die Frist bis 10. November für Bundesbehörden zeigt die wahrgenommene Dringlichkeit. Diese Direktive fällt unter die Binding Operational Directive (BOD) 22-01, die das Risiko bekannter Schwachstellen für Bundesnetze reduzieren soll.
Das anhaltende Problem des Patch-Managements
Die aktive Ausnutzung einer bereits im Juni gepatchten Schwachstelle verdeutlicht eine hartnäckige Herausforderung der Cybersicherheit: effektives und zeitnahes Patch-Management. Trotz Microsofts Lösung bleiben offensichtlich zahlreiche Systeme verwundbar – ein Paradies für Angreifer.
Dieses Szenario wiederholt sich regelmäßig: Ransomware-Gruppen und andere Cyber-Kriminelle nutzen gerne ältere, bekannte Schwachstellen als primäre Einfallstore in Unternehmensnetzwerke.
Das SMB-Protokoll war schon früher ein beliebtes Angriffsziel. Die berüchtigten Würmer WannaCry und NotPetya nutzten frühere SMB-Schwachstellen mit verheerenden Folgen – das verleiht CISAs aktueller Warnung zusätzliches Gewicht.
Der Handlungsdruck steigt
Mit verfügbarem Exploit-Code und Belegen für aktive Angriffe schrumpft das Zeitfenster für Organisationen rapide. Sehr wahrscheinlich werden Angreifer ihre Scan- und Exploit-Versuche in den kommenden Wochen intensivieren, um ungepatchte Systeme auszunutzen, bevor CISAs Frist das Bewusstsein schärft.
Sicherheitsexperten erwarten, dass diese Schwachstelle in die Toolkits von Ransomware-Banden und Initial-Access-Brokern aufgenommen wird. Netzwerkverteidiger sollten sich darauf konzentrieren, verwundbare Assets zu identifizieren und den Microsoft-Patch vom Juni 2025 anzuwenden.
Zusätzlich zum Patchen sollten Organisationen ihre Netzwerkkonfigurationen überprüfen: Unnötigen ausgehenden SMB-Verkehr einschränken und SMB-Signierung durchsetzen – das kann solche Angriffe erschweren.
