[English]Zum 11. Juni 2025 wird Microsoft seinen regulären Patchday durchführen und Sicherheitsupdates für Windows veröffentlichen. Administratoren in Unternehmen sollten dieses Mal die Sicherheitsupdates zeitnah installieren, da eine Schwachstelle CVE-2025-33073 in Windows geschlossen werden soll. Zum Wochenende ging bereits eine Information rund, die vor der Schwachstelle warnte. Ich fasse mal einige Vorab-Informationen, die ich offen legen kann, zusammen.
Eine Warnung des DFN-CERT
Mich erreichten bereits letzten Freitag, den 6. Juni 2025, Mails aus der Leserschaft ("es geht gerade eine (mehr verwirrende als informierende) Warnung vor o.g Lücke CVE-2025-33073 rum"), die eine Warnung vor einer Schwachstelle thematisierten. Nachfolgend eine solche Warnung, in der es heißt, dass die Sicherheitsupdates, die Microsoft zum 10. Juni 2025 (ab 19:00 Uhr) frei gibt, zeitnah installiert werden sollen.
Verschickt wurde die Information wohl vom DFN-CERT (Computer Emergency Response Team des Deutschen Forschungsnetzwerks). Es gibt noch einen deutschen Anhang, der minimal mehr Informationen beinhaltet (siehe nachfolgender Screenshot).
Quelle der Warnung ist das Unternehmen RedTeam Pentesting, dessen Sicherheitsforscher auf eine Schwachstelle in Windows gestoßen sind. Im Text wird die Schwachstelle mit CVE-2025-33073 als kritisch bezeichnet und soll einen CVSS 3.1-Index von vermutlich 8.8 erhalten.
Im Text heißt es weiterhin, dass Administratoren die von Microsoft veröffentlichten Patches zeitnah in ihren Windows-Systemen installieren sollen. Hintergrund sei, dass die Entdecker der Schwachstelle davon ausgehen, dass Angreifer aus den veröffentlichten Sicherheitsupdates durch eine Analyse recht schnell einen Exploit entwickeln könnten. Der Text der obigen Warnung ist auch auf administrator.de zu finden. Der Betreffende hat die Info über seinen Provider erhalten, schreibt er dazu.
Was man vorab dazu wissen sollte
Der Empfehlung aus obiger Rundmail mit der Warnung sollten Administratoren nachkommen und die Sicherheitsupdates, sofern möglich, zeitnah auf den betroffenen Maschinen installieren. Wenn die Sicherheitsupdates am 10. Juni 2025 ab ca. 19:00 Uhr vorliegen, plane ich, noch vor Mitternacht, in meinem Patchday Summary Hinweise zu geben, was man tun kann, wenn sich ein Patch nicht sofort installieren lässt. Mal schauen, was Microsoft diesbezüglich offen legt. Hier noch einige grobe Hinweise zur Schwachstelle:
- Betroffen sind die Windows-Clients Windows 10 (bis 22H2) und Windows 11 (bis 23H2), sowie alle noch im Support befindlichen Server-Versionen (bis hoch zu Windows Server 2025).
- Nicht betroffen sind meinen bisherigen Kenntnissen nach Windows Server-Instanzen, die als Domain-Controller fungieren.
- Um die Schwachstelle auszunutzen, muss der Angreifer in einem Windows Netzwerk mit einem Konto angemeldet sein, um Anfragen schicken zu können.
Wenn meine Informationen stimmen, hat Microsoft die Schwachstelle als "important" und nicht als "critical" eingestuft. Wie oben angedeutet, wird die Mannschaft von RedTeam Pentesting GmbH am Mittwoch, den 11. Juni 2025, um 10:00 Uhr die Details zur Schwachstelle in einem Blog-Beitrag und einem Whitepaper offen legen.
Von mir wird, nach aktueller Planung, zeitgleich ein Artikel hier im Blog veröffentlicht, der die Dokumente bei RedTeam Pentesting GmbH verlinkt und das Ganze für Administratoren einordnet.
Mitigation per SMB-Signing möglich
Wie bereits erwähnt, sollten Administratoren die von Microsoft zum 10. Juni 2025 für Windows bereitgestellten Sicherheitsupdates zeitnah installieren, um die Schwachstelle zu schließen. Ich habe aber mit den Entdeckern gesprochen – es besteht die Möglichkeit, die Schwachstelle durch Erzwingung der serverseitigen SMB-Signierung für Windows-Clients und -Server zu entschärfen (falls man nicht sofort patchen kann). Dies kann über Gruppenrichtlinien erfolgen, die im Microsoft Supportbeitrag Overview of Server Message Block signing beschrieben werden.
Allerdings kam von den Sicherheitsleuten der Hinweis, dass einige veraltete Systeme/Applikationen SMB-Signing nicht unterstützen, weshalb das vielleicht keine Option ist.
Ergänzung: Die Details sind im Artikel Windows Netzwerkschwachstelle CVE-2025-33073 (Reflective Kerberos Relay Attack) offen gelegt.
Ähnliche Artikel:
Microsoft Security Update Summary (10. Juni 2025)
Patchday: Windows 10/11 Updates (10. Juni 2025)
Patchday: Windows Server-Updates (10. Juni 2025)
Windows 10/11: Preview Updates 27. /28. Mai 2025
Juni 2025-Patchday soll Schwachstelle CVE-2025-33073 in Windows schließen
Windows Netzwerkschwachstelle CVE-2025-33073 (Reflective Kerberos Relay Attack)
MVP: 2013 – 2016
"Um die Schwachstelle auszunutzen, muss der Angreifer in einem Windows Netzwerk mit einem Konto angemeldet sein, um Anfragen schicken zu können."
Wenn das ein Angreifer von außen schafft, ist diese Sicherheitslücke das kleinste Problem.
"Zum 11. Juli 2025"
Eher heute am 10. Juni 2025, oder?
Ja, ohne ChatGPT kann ich die beiden Monate nicht auseinander halten, ist korrigiert, danke.
wirkt für mich eher wie eine MarketingAktion von RedTeam Pentesting GmbH…ist ja in der Branche leider nicht unüblich.
Magst das gerne so annehmen – ich stelle die Information hier im Blog ein, und dann entscheidet jeder Admin, wie er zu handeln glaubt. Plain and simple …
alles gut, war keine Kritik in Richtung des Blogs, nur etwas Kritik in Richtung Security Industrie mit der immer mehr zunehmenden marketing medialen Ausschlachtung von Sicherheitslücken und das damit verbundene überdramatisieren um sich selbst besser darzustellen.
bei Log4j, EternalBlue und Co voll legitim, aber sonst…
Es geht heute ein Artikel um 10:00 Uhr online, in dem ich etwas zur Schwachstelle schreibe – die deutschen Entdecker haben mir vorab ihre Erkenntnisse zukommen lassen. Inzwischen ist CVE-2025-33073 offen gelegt. Microsoft sagt, das die Privilege-Escalation-Schwachstelle important sei, aber die Ausnutzung "wenig wahrscheinlich". Von den Leute bei RedTeam Pentesting GmbH ist die Einschätzung "wenn wir das mit wenig Aufwand finden, können das auch andere, speziell, wenn gepatcht wird". Deren Aussage war "da kann jemand binnen Stunden einen Exploit entwickeln" (die Tools gibt es, Du musst nur wissen, wo Du ansetzen kannst).
Bei Microsoft lese ich dann, dass fünf Sicherheitsteams diese Schwachstelle unabhängig voneinander entdeckt und gemeldet haben. Und es heißt, dass die Schwachstelle offen gelegt sei (wobei ich nicht weiß, welches Team das offen gelegt hat. Da siehst Du das bereits, wie groß das Spannungsfeld ist. Wenn kein Exploit kommt, gut. Aber wehe, ein Bedrohungsakteur setzt das ein … daher die Vorab-Bereitstellung der obigen Informationen. Handeln müssen die Administratoren (die ich nicht beneide – ich lebe ja als "nur Blogger" im gelobten Land).
Und zum Marketing: Die Prämie, die die Leute für die Entdeckung bekommen sollen, ist lächerlich gering – dafür setzt Du keine Leute an so etwas. Wenn die RedTeam Pentesting GmbH durch diese Artikel etwas bekannter wird und ggf. Aufträge bekommt, sollte uns das nur Recht sein. Meine Meinung. Wenn keiner mehr schaut, wird es bitter.
ich bin ja grundsätzlich nicht gegen Vermarktung und habe dazu auch keine klare Lösung, wie wir das besser machen, aber um noch Mal deutlicher auf das Ungleichgewicht hinzuweisen zB bei diesem Patchday zu bleiben:
auf der einen Seite CVE-2025-33073 (Windows SMB Client Elevation of Privilege Vulnerability), wo man user auf einen bösartigen Server locken muss um das Ganze auszunutzen und der Scope ist dann halt "nur" die Maschine, die auf den Server zugreift. Wird medial stark gepushed und beworben.
Andererseits ist da dann CVE-2025-33070 (Windows Netlogon Elevation of Privilege Vulnerability), welches am Ende ermöglicht Domain Administrator Rechte zu erhalten und der Angreifer dafür nicht Mal authentifiziert sein muss und eine exploitation nach Einschätzung MS sehr wahrscheinlich ist.
letzte Lücke hat für den IT Admin allerdings sehr viel mehr Gewicht und ist kritischer – dennoch kaum mediale Aufmerksamkeit für diese.
Für CVE-2025-33073 sind bereits öffentliche Exploits verfügbar (sogar in der Ergänzung dieses Artikels verlinkt), für CVE-2025-33070 nicht. Wie Microsoft zu der Einschätzung kommt, dass letzteres eher ausnutzbar sei, ist höchst fragwürdig.
Man sollte dazu sagen, dass das Locken auf den bösartigen Server in der Standardeinstellung ohne Benutzerinteraktion möglich. Das Stichwort lautet Authentication Coercion.
24H2 ist nicht, zumindest bei mir nicht… :(
Note: This update is being gradually rolled out to devices running Windows 11, version 24H2. We've identified a compatibility issue affecting a limited set of these devices. If your device is affected, you'll receive a revised update with all the June 2025 security improvements in the near term.
https://x.com/WindowsUpdate/status/1932521946509611190
Und wie weiß ich, ob die Clients kompatibel sind, wenn WSUS im Spiel ist? Weiß Win11 dann trotzdem Bescheid? Ich habe einen Testrechner aktualisiert und keine Probleme feststellen könne. Wäre wirklich schön, wenn man hierzu mehr Infos bekommen könnte.
Servus,
habe eben zum Juni-Patch inzwischen mehrere PCs (laut MS nicht W11 tauglich und mit W11-tauglich) aktualisieren lassen und bislang keine Probleme festgestellt.
Gruß
VGem-e