CVE-2025-33073 è una vulnerabilità remota (RCE) sfruttabile se sul target (sistemi Windows) è attivo il servizio SMB sprovvisto di firma digitale nei domini AD (Active Directory) on-premises in cui il sysadmin ha lasciato le impostazioni di default (diciamo il 99% dei casi?🤑😱😈).
Perché dovresti preoccupartene se non hai ancora aggiornato Windows? Poiché sfruttando questa vulnerabilità, un attacker riuscirebbe a fare privilege escalation (permette di acquisire i permessi dell’account SYSTEM partendo da un account con pochi privilegi) in poco tempo sulla maggior parte di host Windows (consulta Link2) sprovvisti di firme SMB.
Per agevolare il rilevamento dell’exploit, è possibile utilizzare la seguente query KQL progettata per identificare richieste DNS sospette, ossia con informazioni di destinazione potenzialmente indicative dello sfruttamento di CVE-2025-33073
Link di approfondimento:
– Link1
– Link2 (PoC originale, pubblicata il 14-giugno-2025)
– Link3 (PoC di approfondimento)
dmzware.com 