Windows-Protokoll: Hacker nutzen kritische Sicherheitslücke aktiv aus
Eine schwerwiegende Schwachstelle in Windows SMB ermöglicht Angreifern vollständige Systemkontrolle. Die US-Cybersicherheitsbehörde CISA warnt vor aktiver Ausnutzung und fordert umgehende Sicherheitsupdates.
Die US-Cybersicherheitsbehörde CISA schlägt Alarm: Eine schwerwiegende Sicherheitslücke im Windows Server Message Block wird bereits von Angreifern ausgenutzt. Die Schwachstelle mit der Kennung CVE-2025-33073 ermöglicht es Hackern, sich die höchsten Systemrechte zu verschaffen.
Behörden und Unternehmen weltweit stehen unter Zugzwang. Die CISA hat die Lücke am Montag in ihren Katalog aktiv ausgebeuterSchwachstellen aufgenommen – ein deutliches Warnsignal. US-Bundesbehörden haben bis zum 10. November Zeit für die Reparatur. Doch Sicherheitsexperten empfehlen allen Organisationen, sofort zu handeln.
Betroffen sind praktisch alle modernen Windows-Systeme: Windows 10, Windows 11 und sämtliche Windows Server-Editionen. Das macht die Bedrohung besonders brisant.
Angriffsziel: Vollzugriff auf das System
Das Server Message Block-Protokoll ist das Rückgrat der Windows-Netzwerkinfrastruktur. Über SMB teilen Unternehmen Dateien, Drucker und andere Ressourcen – ein alltäglicher Vorgang in praktisch jedem Firmennetzwerk.
Die Schwachstelle liegt in der fehlerhaften Zugriffskontrolle des Windows SMB-Clients. Angreifer können Nutzer dazu bringen, sich unwissentlich mit einem manipulierten SMB-Server zu verbinden. Microsoft erklärt den Ablauf: “Der Angreifer führt ein speziell entwickeltes Skript aus, das die Verbindung mit dem Angriffssystem erzwingt.”
Gelingt dieser Trick, übernimmt der Hacker die vollständige Kontrolle. Er erhält “SYSTEM”-Rechte – die höchste Berechtigungsstufe auf Windows-Computern. Sensible Daten, Malware-Installation oder die Ausbreitung im Netzwerk werden möglich.
Microsoft hatte die Lücke bereits im Juni 2025 geschlossen. Damals gingen die Entwickler noch davon aus, dass keine aktiven Angriffe stattfanden. Diese Einschätzung hat sich dramatisch geändert.
Experten warnen vor neuer Angriffswelle
Mit einem CVSS-Wert von 8,8 von 10 möglichen Punkten gilt die Schwachstelle als hochgefährlich. Sicherheitsforscher der Firma Synacktiv betonen einen besonderen Aspekt: Die Lücke umgeht bestehende Schutzmaßnahmen gegen Credential-Relay-Angriffe.
Besonders brisant: Proof-of-Concept-Code kursiert bereits auf Plattformen wie GitHub. Das senkt die Hürden für andere Cyberkriminelle erheblich. Sie müssen nicht mehr selbst forschen, sondern können fertige Angriffsskripte verwenden.
Die Parallelen zu früheren SMB-Katastrophen sind unübersehbar. Der berüchtigte EternalBlue-Exploit nutzte 2017 ebenfalls eine SMB-Schwachstelle für die verheerenden WannaCry- und NotPetya-Angriffe. Milliardenschäden waren die Folge.
Sofortmaßnahmen: Mehr als nur Patchen
IT-Administratoren sollten nicht nur die verfügbaren Microsoft-Updates einspielen. Zusätzliche Schutzmaßnahmen können das Risiko reduzieren:
Anzeige: Für alle, die angesichts häufiger Windows-Sicherheitslücken eine stabile Alternative testen möchten: Das kostenlose Linux-Startpaket liefert eine Ubuntu‑Vollversion plus Schritt‑für‑Schritt‑Anleitung für die parallele Installation – ohne Risiko und ohne Datenverlust. So prüfen Sie in Minuten mehr Tempo, Stabilität und Sicherheit, während Windows auf dem Rechner bleibt. Jetzt Linux-Startpaket gratis sichern
SMB-Signing sollte durchgängig aktiviert werden – diese Funktion überprüft die Integrität der Datenpakete. Verdächtige ausgehende SMB-Verbindungen müssen überwacht werden. Ungewöhnliche Authentifizierungsversuche können auf laufende Angriffe hindeuten.
Ransomware-Gruppen nutzen Privilege-Escalation-Lücken wie diese bevorzugt für ihre Angriffe. Der tiefe Systemzugriff ermöglicht es ihnen, ihre Verschlüsselungssoftware ungestört zu verbreiten.
Die Zeit drängt. Mit der aktiven Ausnutzung durch Cyberkriminelle schrumpft das Zeitfenster für präventive Maßnahmen. Wer jetzt nicht handelt, riskiert den kompletten Systemkompromiss.
