Windows Netzwerkschwachstelle CVE-2025-33073 (Reflective Kerberos Relay Attack)

Publiziert am 11. Juni 2025 von Günter Born

Windows[English]Zum 10. Juni 2025 hat Microsoft mit den Sicherheits-Updates für Windows auch die Schwachstelle CVE-2025-33073 gepatcht. Es handelt sich um eine Schwachstelle im Kerberos-Netzwerkprotokoll, die im Januar 2025 von RedTeam Pentesting entdeckt wurde. Nachfolgende lege ich einige Informationen zur Schwachstelle offen, die mir vorab von den Entdeckern wurden. Weiterhin gibt es Hinweise für Windows-Administratoren, was relevant ist.

Anzeige

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Reflective Kerberos Relay Attack

In Windows kommen verschiedene Netzwerkprotokolle zum Einsatz, deren Schwachstellen für Angriffe benutzt werden können. Ein Klassiker waren und sind dabei NTLM-Relay-Angriffe über Schwachstellen. Hier hat Microsoft in der Vergangenheit einiges im NTLM-Protokoll gefixt (siehe z.B. Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update).

Zudem gibt es einen Support-Beitrag KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS), der erläutert, wie Administratoren ihr Active Directory (AD) gegen NTML-Relay-Angriffe schützen. Seit 2008 ist es zudem nicht mehr möglich, NTLM-Nachrichten (reflective) an den initiierenden Host zurückzuleiten (siehe MS08-068).

Anfang 2025 stellten sich Sicherheitsforscher der Redteam Pentesting GmbH die Frage, ob vielleicht ein solcher Angriff auf das Kerberos-Protokoll von Windows durchführbar ist. Das Team entdeckte darauf hin die Schwachstelle CVE-2025-33073 in der Kerberos-Netzwerkprotokoll-Implementierung von Windows.

Anzeige

Es gibt Ansätze, über die es für Netzwerkteilnehmer in einer Domäne ggf. (durch Schwachstellen, wurde von den Sicherheitsforschern in diesem Artikel beschrieben) möglich ist, jeden Windows-Host dazu zu zwingen, sich über SMB zu authentifizieren. Im Anschluss lässt sich das vom Host ausgestellte Kerberos-Ticket des Computerkontos an den Windows-Host zurücksenden. Damit umgeht die anfragende Instanz nicht nur alle NTLM-Restriktionen, die Microsoft inzwischen in Windows implementiert hat. Die betreffende Instanz erhält zudem NT AUTHORITY\SYSTEM-Berechtigungen und damit die Möglichkeit zur Remote Code Execution (RCE).

Reflective Kerberos Relay Attack in Windows
Reflective Kerberos Relay-Angriff in Windows; Quelle: Redteam Pentesting GmbH

Obige Abbildung verdeutlicht den Ablauf: Der Rechner des Angreifers, der als Domänenmitglied Zugriff auf das Windows-Netzwerk haben muss, fordert per Remote Procedure Call (RPC) ein Kerberos-Ticket zur Authentifizierung an. Dabei versucht der Angreifer über RPC Coercion den Windows-Host zu überlisten.

Bei RPC Coercion nutzt der Angreifer einen RPC-Aufruf, der auf Grund einer Sicherheitslücke vom Windows-Host akzeptiert wird.

Im Fall der entdeckten Schwachstelle CVE-2025-33073 (Windows SMB Client Elevation of Privilege Vulnerability) erzwingt der RPC Coercion-Aufruf den Windows Host per SMB-Verbindung zu antworten und das Kerberos-Ticket zur Authentifizierung zu übermitteln. Der Angreifer spiegelt dieses Kerberos-Ticket dann über krbrelayx.py an den Host zurück und erhält so die oben erwähnten System-Privilegien. Es findet also eine Privilegien-Erhöhung (Privilege Escalation) für das verwendete Konto statt, wobei der Rechner des Angreifers aber Mitglied der Domäne sein muss.

Bei krbrelayx handelt es sich um ein Toolkit mit Programmen 'zum Missbrauch' des Kerberos-Protokolls, in dem auch das erwähnte Python-Programm enthalten ist. Das Kerberos-Relaying mittels SMB unter Verwendung von krbrelayx ist beispielsweise im Beitrag Relaying Kerberos over SMB using krbrelayx beschrieben.

Details zur Schwachstelle CVE-2025-33073

Die Sicherheitsforscher beschreiben in einem White-Paper Reflective Kerberos Relay Attack die Details dieses Angriffs. Dieses White Paper sollte zum  Zeitpunkt der Veröffentlichung dieses Blog-Beitrags unter Reflective Kerberos Relay Attack als PDF verlinkt sein.

Zeitablauf von der Entdeckung bis zur Beseitigung von CVE-2025-33073

Die Schwachstelle wurde von Sicherheitsforschern der RedTeam Pentesting GmbH zum 30. Januar 2025 entdeckt und am 7. März 2025 an Microsoft an das MSRC gemeldet. Am 31. März 2025 bestätigte Microsoft diese Schwachstelle als "important" und reservierte später die Kennung CVE-2025-33073. Den Entdeckern wurde eine Bug Bounty-Prämie von 5.000 US-Dollar zugesprochen.

CVE-2025-33073 lässt sich entnehmen, dass insgesamt fünf Sicherheitsteams unabhängig voneinander die Schwachstelle entdeckt haben. Diese ermöglicht eine Privilegien-Erhöhung und wird als important eingestuft. Microsoft sieht die Ausnutzung als "wenig wahrscheinlich" an. Die Tatsache, dass fünf Teams auf die Schwachstelle gestoßen sind, deutet imho aber drauf hin, dass die nachfolgende Einschätzung der RedTeam Pentesting GmbH eher zutrifft (es lag was in der Luft).

Microsoft hat am Dienstag, den 10. Juni 2025, einen Fix zum Schließen der Schwachstelle mit den regulären Windows-Sicherheitsupdates veröffentlicht. Die Offenlegung der Details wurde durch Microsoft zum 10. Juni 2025 freigegeben. Nach einem Telefonat vom 4. Juni 2025 mit mir entschloss sich die RedTeam Pentesting GmbH nach einer internen Diskussion zur Offenlegung am Mittwoch, den 11. Juni 2025. Mein Dank an das Team, mich vorab in diese Veröffentlichung einzubeziehen.

Ergänzung: Inzwischen gibt es den Beitrag NTLM reflection is dead, long live NTLM reflection! – An in-depth analysis of CVE-2025-33073 von SYNACKTIVE mit einer weiteren Analyse.

Sicherheitshinweis für Windows-Administratoren

Für Administratoren in Firmenumgebungen (Privatanwender sind nicht betroffen) sind die tiefergehenden Details der Schwachstelle bzw. zum Exploit eher nicht so interessant. Hier interessiert vor allem, welche Systeme betroffen sind, welche Auswirkungen die Schwachstelle hat und wie man diese beseitigen kann. Ich versuche nachfolgend die wichtigsten Aspekte herauszuziehen.

Erste Vorabinformationen von DFN-CERT

Bereits zum Freitag, den 6. Juni 2025 gab es von DFN-CERT einen Hinweis auf eine Schwachstelle CVE-2025-33073 (als wichtig [important] eingestuft, CVSS 8.8) in Microsoft Windows. Es gab zudem die Information, dass diese Sicherheitslücke von Microsoft am Dienstag, den 10.06.2025, im Rahmen monatlichen Patchdays durch Windows-Updates geschlossen wird, siehe Juni 2025-Patchday soll Schwachstelle CVE-2025-33073 in Windows schließen.

Es sollte zügig gehandelt werden

Von der RedTeam Pentesting GmbH liegt zudem die Einschätzung vor, dass ein versierter Angreifer den Patch in wenigen Stunden per Reverse Engineering analysieren kann, und dass Exploits kurzzeitig entwickelt werden können oder sogar schon bereitstehen. Ein langes Zuwarten von Administratoren in Windows-Umgebungen, bis reagiert wird, scheint also nicht angebracht. Die bereitgestellten Windows-Sicherheitsupdates werden in den am Artikelende aufgelisteten Blog-Beiträgen zum Patchday genannt. Dort finden sich ggf. auch Hinweise auf mögliche Probleme.

Vollständiges Security Advisory

Wenn dieser Blog-Beitrag öffentlich ist, sollte das vollständige Security Advisory RT-SA-2025-002 der RedTeam Pentesting GmbH abrufbar sein. Die Kurzfassung lautet: RedTeam Pentesting hat einen Reflektiven Kerberos-Relay-Angriff entwickelt, der es Active Directory-Domänenbenutzern mit geringen Privilegien ermöglicht, auf Domain-joined Windows-Rechnern NT AUTHORITY\SYSTEM-Rechte zu erlangen.

Die Schwachstelle CVE-2025-33073 betrifft alle Windows-Hosts, die Mitglied einer Domäne sind und keine SMB-Signierung von eingehenden Verbindungen verlangen. In der Standardkonfiguration umfasst dies bei Clients alle Windows 10-Versionen bis 22H2, sowie alle Windows 11-Versionen bis 23H2. Weiterhin sind alle Windows Server-Versionen bis Windows Server 2025 (24H2) betroffen, sofern es sich nicht um einen Domänen-Controller handelt.

Mitigation per SMB-Signing möglich

Wie bereits erwähnt, sollten Administratoren die von Microsoft zum 10. Juni 2025 für Windows bereitgestellten Sicherheitsupdates zeitnah installieren, um die Schwachstelle zu schließen. Zudem besteht die Möglichkeit, die Schwachstelle durch Erzwingung der serverseitigen SMB-Signierung für Windows-Clients und -Server zu entschärfen (falls man nicht sofort patchen kann). Dies kann über Gruppenrichtlinien erfolgen, die im Microsoft Supportbeitrag Overview of Server Message Block signing beschrieben werden. Allerdings unterstützen einige veraltete Systeme/Applikationen SMB-Signing nicht, weshalb das vielleicht keine Option ist.

Ähnliche Artikel:
Microsoft Security Update Summary (10. Juni 2025)
Patchday: Windows 10/11 Updates (10. Juni 2025)
Patchday: Windows Server-Updates (10. Juni 2025)
Patchday: Microsoft Office Updates (10. Juni 2025)

Windows 10/11: Preview Updates 27. /28. Mai 2025
Juni 2025-Patchday soll Schwachstelle CVE-2025-33073 in Windows schließen

Anzeige
Dieser Beitrag wurde unter Netzwerk, Sicherheit, Update, Windows, Windows Server abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Windows Netzwerkschwachstelle CVE-2025-33073 (Reflective Kerberos Relay Attack)

Schreibe einen Kommentar zu Gänseblümchen Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.