Pesquisa recente aponta uma falha crítica no cliente SMB do Windows que, se explorada, permite controle de contas de sistema e comprometimento completo de ambientes Active Directory.
Descoberta e escopo
Relatório da DepthSecurity, repercutido pelo veículo, identifica a vulnerabilidade como CVE-2025-33073, classificada como "improper access control" no fluxo de autenticação NTLM do cliente SMB. A pesquisa afirma que, sete meses após o lançamento do patch de junho de 2025, a correção ainda não foi adotada amplamente em muitas infraestruturas empresariais, com hosts vulneráveis identificados em controladores de domínio, servidores tier-zero e estações de trabalho.
Vetor e exploração
A exploração combina coerção NTLM (técnicas como PetitPotam, DFSCoerce e Printerbug) com relay/reflection: quando o cliente recebe um NTLM_CHALLENGE marcado para autenticação local, o sistema cria um contexto que pode ser usado para forçar lsass.exe (rodando como SYSTEM) a autenticar-se contra servidores controlados pelo atacante. Em alguns cenários, pesquisadores demonstraram relays cross-protocol — por exemplo, SMB→LDAPS — mesmo com SMB signing e channel binding ativados.
Segundo os pesquisadors, a técnica envolve a remoção de flags NTLMSSP (Negotiate Always Sign, Negotiate Seal, Negotiate Sign) enquanto preserva o Message Integrity Code, permitindo contornar controles que normalmente bloqueiam relays.
Impacto e alcance
O impacto descrito é grave: a cadeia de exploração pode resultar em impersonação do token SYSTEM pelo servidor atacante, permitindo modificações em objetos do Active Directory, exfiltração de credenciais via DCSync e até execução remota de código em serviços vulneráveis (por exemplo, ADCS Web Enrollment). A pesquisa relata que a superfície atacável inclui serviços típicos de domínio (SMB, LDAP, HTTP) quando assinaturas e Channel Binding Tokens (CBT) não são exigidos pelo serviço alvo.
Mitigações apontadas
- Aplicar imediatamente os updates publicados em junho de 2025 — a DepthSecurity indica que esse é o primeiro passo obrigatório.
- Habilitar SMB signing e reforçar o uso de channel binding tokens (CBT) não apenas em SMB, mas em todos os protocolos onde disponíveis.
- Reconfigurar ACLs de zonas DNS do Active Directory para restringir que Authenticated Users criem registros arbitrários, reduzindo vetores de coerção que dependem de entradas DNS maliciosas.
- Monitorar solicitações TGS/Kerberos anômalas e padrões de autenticação cross-protocol que possam indicar tentativas de relay.
Evidências e limitações
Os pesquisadores demonstraram ataques contra ADCS enrollment, MSSQL e WinRMS e publicaram análises técnicas. A matéria indica que a mitigação parcial da Microsoft — suporte a CBT para HTTP.sys — cobre cenários HTTP, mas não elimina a primitiva de coerção via CNAME/NTLM que permite relays para outros protocolos.
Observações para equipes de segurança
Há três pontos operacionais imediatos: 1) priorizar a implantação dos patches de junho/2025 e verificar sua aplicação em controladores e servidores essenciais; 2) rever configurações de DNS e privilégios que permitam criação de registros por entidades pouco privilegiadas; 3) auditar e obrigar assinaturas e CBTs em serviços internos.
O que falta. A cobertura noticiada não traz uma declaração oficial da Microsoft sobre abrangência das correções frente ao conjunto completo de técnicas de coerção relatadas; equipes devem buscar comunicados oficiais e IOCs diretamente nas fontes dos pesquisadores.