{"id":312391,"date":"2025-06-11T10:02:30","date_gmt":"2025-06-11T08:02:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=312391"},"modified":"2025-10-29T10:17:49","modified_gmt":"2025-10-29T09:17:49","slug":"windows-netzwerkschwachstelle-cve-2025-33073-reflective-kerberos-relay-attack","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/11\/windows-netzwerkschwachstelle-cve-2025-33073-reflective-kerberos-relay-attack\/","title":{"rendered":"Windows Netzwerkschwachstelle CVE-2025-33073 (Reflective Kerberos Relay Attack)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Zum 10. Juni 2025 hat Microsoft mit den Sicherheits-Updates f\u00fcr Windows auch die Schwachstelle CVE-2025-33073 gepatcht. Es handelt sich um eine Schwachstelle im Kerberos-Netzwerkprotokoll, die im Januar 2025 von RedTeam Pentesting entdeckt wurde. Nachfolgende lege ich einige Informationen zur Schwachstelle offen, die mir vorab von den Entdeckern wurden. Weiterhin gibt es Hinweise f\u00fcr Windows-Administratoren, was relevant ist.<\/p>\n

<\/p>\n

Reflective Kerberos Relay Attack<\/h2>\n

\"\"In Windows kommen verschiedene Netzwerkprotokolle zum Einsatz, deren Schwachstellen f\u00fcr Angriffe benutzt werden k\u00f6nnen. Ein Klassiker waren und sind dabei NTLM-Relay-Angriffe \u00fcber Schwachstellen. Hier hat Microsoft in der Vergangenheit einiges im NTLM-Protokoll gefixt (siehe z.B. Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update<\/a>).<\/p>\n

Zudem gibt es einen Support-Beitrag KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)<\/a>, der erl\u00e4utert, wie Administratoren ihr Active Directory (AD) gegen NTML-Relay-Angriffe sch\u00fctzen. Seit 2008 ist es zudem nicht mehr m\u00f6glich, NTLM-Nachrichten (reflective) an den initiierenden Host zur\u00fcckzuleiten (siehe MS08-068<\/a>).<\/p>\n

Anfang 2025 stellten sich Sicherheitsforscher der Redteam Pentesting GmbH die Frage, ob vielleicht ein solcher Angriff auf das Kerberos-Protokoll von Windows durchf\u00fchrbar ist. Das Team entdeckte darauf hin die Schwachstelle CVE-2025-33073<\/a> in der Kerberos-Netzwerkprotokoll-Implementierung von Windows.<\/p>\n

Es gibt Ans\u00e4tze, \u00fcber die es f\u00fcr Netzwerkteilnehmer in einer Dom\u00e4ne ggf. (durch Schwachstellen, wurde von den Sicherheitsforschern in diesem Artikel<\/a> beschrieben) m\u00f6glich ist, jeden Windows-Host dazu zu zwingen, sich \u00fcber SMB zu authentifizieren. Im Anschluss l\u00e4sst sich das vom Host ausgestellte Kerberos-Ticket des Computerkontos an den Windows-Host zur\u00fccksenden. Damit umgeht die anfragende Instanz nicht nur alle NTLM-Restriktionen, die Microsoft inzwischen in Windows implementiert hat. Die betreffende Instanz erh\u00e4lt zudem NT AUTHORITY\\SYSTEM-Berechtigungen und damit die M\u00f6glichkeit zur Remote Code Execution (RCE).<\/p>\n

\"Reflective
\nReflective Kerberos Relay-Angriff in Windows; Quelle: Redteam Pentesting GmbH<\/p>\n

Obige Abbildung verdeutlicht den Ablauf: Der Rechner des Angreifers, der als Dom\u00e4nenmitglied Zugriff auf das Windows-Netzwerk haben muss, fordert per Remote Procedure Call (RPC) ein Kerberos-Ticket zur Authentifizierung an. Dabei versucht der Angreifer \u00fcber RPC Coercion den Windows-Host zu \u00fcberlisten.<\/p>\n

Bei RPC Coercion nutzt der Angreifer einen RPC-Aufruf, der auf Grund einer Sicherheitsl\u00fccke vom Windows-Host akzeptiert wird.<\/p><\/blockquote>\n

Im Fall der entdeckten Schwachstelle CVE-2025-33073<\/a> (Windows SMB Client Elevation of Privilege Vulnerability) erzwingt der RPC Coercion-Aufruf den Windows Host per SMB-Verbindung zu antworten und das Kerberos-Ticket zur Authentifizierung zu \u00fcbermitteln. Der Angreifer spiegelt dieses Kerberos-Ticket dann \u00fcber krbrelayx.py\u00a0<\/em>an den Host zur\u00fcck und erh\u00e4lt so die oben erw\u00e4hnten System-Privilegien. Es findet also eine Privilegien-Erh\u00f6hung (Privilege Escalation) f\u00fcr das verwendete Konto statt, wobei der Rechner des Angreifers aber Mitglied der Dom\u00e4ne sein muss.<\/p>\n

Bei krbrelayx<\/em><\/a> handelt es sich um ein Toolkit mit Programmen 'zum Missbrauch' des Kerberos-Protokolls, in dem auch das erw\u00e4hnte Python-Programm enthalten ist. Das Kerberos-Relaying mittels SMB unter Verwendung von krbrelayx ist beispielsweise im Beitrag Relaying Kerberos over SMB using krbrelayx<\/a> beschrieben.<\/p><\/blockquote>\n

Details zur Schwachstelle CVE-2025-33073<\/h3>\n

Die Sicherheitsforscher beschreiben in einem White-Paper Reflective Kerberos Relay Attack<\/em> die Details dieses Angriffs. Dieses White Paper sollte zum\u00a0 Zeitpunkt der Ver\u00f6ffentlichung dieses Blog-Beitrags unter Reflective Kerberos Relay Attack<\/a> als PDF verlinkt sein.<\/p>\n

Zeitablauf von der Entdeckung bis zur Beseitigung von CVE-2025-33073<\/h3>\n

Die Schwachstelle wurde von Sicherheitsforschern der RedTeam Pentesting GmbH zum 30. Januar 2025 entdeckt und am 7. M\u00e4rz 2025 an Microsoft an das MSRC gemeldet. Am 31. M\u00e4rz 2025 best\u00e4tigte Microsoft diese Schwachstelle als \"important\" und reservierte sp\u00e4ter die Kennung CVE-2025-33073. Den Entdeckern wurde eine Bug Bounty-Pr\u00e4mie von 5.000 US-Dollar zugesprochen.<\/p>\n

CVE-2025-33073<\/a> l\u00e4sst sich entnehmen, dass insgesamt f\u00fcnf Sicherheitsteams unabh\u00e4ngig voneinander die Schwachstelle entdeckt haben. Diese erm\u00f6glicht eine Privilegien-Erh\u00f6hung und wird als important eingestuft. Microsoft sieht die Ausnutzung als \"wenig wahrscheinlich\" an. Die Tatsache, dass f\u00fcnf Teams auf die Schwachstelle gesto\u00dfen sind, deutet imho aber drauf hin, dass die nachfolgende Einsch\u00e4tzung der RedTeam Pentesting GmbH eher zutrifft (es lag was in der Luft).<\/p><\/blockquote>\n

Microsoft hat am Dienstag, den 10. Juni 2025, einen Fix zum Schlie\u00dfen der Schwachstelle mit den regul\u00e4ren Windows-Sicherheitsupdates ver\u00f6ffentlicht. Die Offenlegung der Details wurde durch Microsoft zum 10. Juni 2025 freigegeben. Nach einem Telefonat vom 4. Juni 2025 mit mir entschloss sich die RedTeam Pentesting GmbH nach einer internen Diskussion zur Offenlegung am Mittwoch, den 11. Juni 2025. Mein Dank an das Team, mich vorab in diese Ver\u00f6ffentlichung einzubeziehen.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen gibt es den Beitrag\u00a0NTLM reflection is dead, long live NTLM reflection! \u2013 An in-depth analysis of CVE-2025-33073<\/a> von SYNACKTIVE mit einer weiteren Analyse.<\/p>\n

Sicherheitshinweis f\u00fcr Windows-Administratoren<\/h2>\n

F\u00fcr Administratoren in Firmenumgebungen (Privatanwender sind nicht betroffen) sind die tiefergehenden Details der Schwachstelle bzw. zum Exploit eher nicht so interessant. Hier interessiert vor allem, welche Systeme betroffen sind, welche Auswirkungen die Schwachstelle hat und wie man diese beseitigen kann. Ich versuche nachfolgend die wichtigsten Aspekte herauszuziehen.<\/p>\n

Erste Vorabinformationen von DFN-CERT<\/h3>\n

Bereits zum Freitag, den 6. Juni 2025 gab es von DFN-CERT einen Hinweis auf eine Schwachstelle CVE<\/i>-2025-33073 (als wichtig [important] eingestuft, CVSS 8.8) in Microsoft Windows. Es gab zudem die Information, dass diese Sicherheitsl\u00fccke von Microsoft am Dienstag, den 10.06.2025, im Rahmen monatlichen Patchdays durch Windows-Updates geschlossen wird, siehe Juni 2025-Patchday soll Schwachstelle CVE-2025-33073 in Windows schlie\u00dfen<\/a>.<\/p>\n

Es sollte z\u00fcgig gehandelt werden<\/h3>\n

Von der RedTeam Pentesting GmbH liegt zudem die Einsch\u00e4tzung vor, dass ein versierter Angreifer den Patch in wenigen Stunden per Reverse Engineering analysieren kann, und dass Exploits kurzzeitig entwickelt werden k\u00f6nnen oder sogar schon bereitstehen. Ein langes Zuwarten von Administratoren in Windows-Umgebungen, bis reagiert wird, scheint also nicht angebracht. Die bereitgestellten Windows-Sicherheitsupdates werden in den am Artikelende aufgelisteten Blog-Beitr\u00e4gen zum Patchday genannt. Dort finden sich ggf. auch Hinweise auf m\u00f6gliche Probleme.<\/p>\n

Vollst\u00e4ndiges Security Advisory<\/h3>\n

Wenn dieser Blog-Beitrag \u00f6ffentlich ist, sollte das vollst\u00e4ndige Security Advisory RT-SA-2025-002<\/a> der RedTeam Pentesting GmbH abrufbar sein. Die Kurzfassung lautet: RedTeam Pentesting hat einen Re\ufb02ektiven Kerberos-Relay<\/em>-Angriff entwickelt, der es Active Directory-Dom\u00e4nenbenutzern mit geringen Privilegien erm\u00f6glicht, auf Domain-joined Windows-Rechnern\u00a0NT AUTHORITY\\SYSTEM-Rechte zu erlangen.<\/p>\n

Die Schwachstelle CVE-2025-33073 betrifft alle Windows-Hosts, die Mitglied einer Dom\u00e4ne sind und keine SMB-Signierung von eingehenden Verbindungen verlangen. In der Standardkon\ufb01guration umfasst dies bei Clients alle Windows 10-Versionen bis 22H2, sowie alle Windows 11-Versionen bis 23H2. Weiterhin sind alle Windows Server-Versionen bis Windows Server 2025 (24H2) betroffen, sofern es sich nicht um einen Dom\u00e4nen-Controller handelt.<\/p>\n

Mitigation per SMB-Signing m\u00f6glich<\/h3>\n

Wie bereits erw\u00e4hnt, sollten Administratoren die von Microsoft zum 10. Juni 2025 f\u00fcr Windows bereitgestellten Sicherheitsupdates zeitnah installieren, um die Schwachstelle zu schlie\u00dfen. Zudem besteht die M\u00f6glichkeit, die Schwachstelle durch Erzwingung der serverseitigen SMB-Signierung f\u00fcr Windows-Clients und -Server zu entsch\u00e4rfen (falls man nicht sofort patchen kann). Dies kann \u00fcber Gruppenrichtlinien erfolgen, die im Microsoft Supportbeitrag Overview of Server Message Block signing<\/a> beschrieben werden. Allerdings unterst\u00fctzen einige veraltete Systeme\/Applikationen SMB-Signing nicht, weshalb das vielleicht keine Option ist.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary (10. Juni 2025)<\/a>
\nPatchday: Windows 10\/11 Updates (10. Juni 2025)<\/a>
\nPatchday: Windows Server-Updates (10. Juni 2025)<\/a>
\nPatchday: Microsoft Office Updates (10. Juni 2025)<\/a><\/p>\n

Windows 10\/11: Preview Updates 27. \/28. Mai 2025<\/a>
\nJuni 2025-Patchday soll Schwachstelle CVE-2025-33073 in Windows schlie\u00dfen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 10. Juni 2025 hat Microsoft mit den Sicherheits-Updates f\u00fcr Windows auch die Schwachstelle CVE-2025-33073 gepatcht. Es handelt sich um eine Schwachstelle im Kerberos-Netzwerkprotokoll, die im Januar 2025 von RedTeam Pentesting entdeckt wurde. Nachfolgende lege ich einige Informationen zur Schwachstelle … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,426,185,301,2557],"tags":[4307,8601,4328,4315,3288],"class_list":["post-312391","post","type-post","status-publish","format-standard","hentry","category-netzwerk","category-sicherheit","category-update","category-windows","category-windows-server","tag-netzwerk","tag-patchday-6-2025","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312391","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=312391"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312391\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=312391"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=312391"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=312391"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}