Критическая уязвимость CVE-2025-33073 в Kerberos Active Directory
В недавнем отчёте представлено подробное исследование критической уязвимости CVE-2025-33073, связанной с отражёнными атаками Kerberos в инфраструктуре Active Directory (AD). Эксперты выявили новые возможности обхода существующих мер защиты, что существенно расширяет возможности злоумышленников и требует немедленных действий по снижению рисков.
Суть уязвимости и методика атаки
Исследование началось с анализа контроллера домена (Domain Controller, DC), созданного в лабораторной среде с целью разработки методов взлома. Ключевым элементом атаки стала техника манипулирования DNS-записями, включающая добавление так называемой «магической строки» к имени хоста. Это позволило злоумышленнику добиваться успешной принудительной аутентификации.
Несмотря на то что отражённые атаки Kerberos традиционно осложняются из-за мер по предотвращению блокировки сообщений сервера SMB (Server Message Block) с 2008 года, проведённые тесты показали, что в определённых условиях система безопасности может быть успешно обойдена.
Подтверждение масштабов угрозы
Результаты тестирования в другом лабораторном окружении подтвердили серьёзность уязвимости: злоумышленнику удалось извлечь базу данных Security Account Manager (SAM). Это свидетельствует о более широком потенциале атаки и серьёзных последствиях для защиты данных пользователей в AD.
Ключевые условия эксплуатации уязвимости
- _Отключение подписи SMB_ или установка значения “при согласовании”;
Эти параметры позволяют упростить принудительную аутентификацию. - Наличие действительных учётных данных пользователя домена;
Они требуются для создания DNS-записей, необходимых для перенаправления трафика аутентификации. - Разрешённый доступ к манипулированию DNS-записями;
Как правило, в большинстве сред нет строгих ограничений на создание DNS-записей, что открывает вектор атаки.
Технические детали и используемые инструменты
Технология атаки базируется на использовании серверов-участников через манипулирование именами участников-служб (Service Principal Names, SPN), которые связаны с конкретными хостами. Особенно это важно, когда записи DNS соответствуют SPN, но отличаются от NETBIOS-имени. Это требует глубокого понимания конфигурации сети для успешного выполнения атаки.
Для реализации принудительной аутентификации могут применяться следующие инструменты:
- mitm6
- pretender
- responder
Однако создание DNS-записей зачастую оказывается более простым и эффективным методом при проведении penetration testing.
Значение для специалистов по кибербезопасности
CVE-2025-33073 подчёркивает важность тщательного управления конфигурациями Active Directory и внимательной оценки уязвимостей. Специалистам необходимо уделить особое внимание следующим аспектам:
- Обеспечить корректную настройку и контроль подписи SMB;
- Ограничить возможности создания и изменения DNS-записей;
- Следить за использованием и защитой учётных данных домена;
- Регулярно проводить аудит систем на наличие подобных уязвимостей и подозрительных действий.
Несоблюдение этих рекомендаций повышает вероятность успешного проведения отражённых атак Kerberos, что может привести к критическим нарушениям безопасности.
Вывод
Уязвимость CVE-2025-33073 является серьёзным вызовом для организаций, управляющих средами Active Directory. Она демонстрирует, что даже накопленные с 2008 года меры безопасности способны быть обходными при определённых условиях. Для защиты от данного вектора атак необходим системный подход, включающий управление конфигурациями, контроль доступа и повышение осведомлённости специалистов.
Данный случай служит напоминанием о том, что информационная безопасность требует постоянного внимания и обновления практик в условиях меняющегося ландшафта угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
