Selon Cyber Security News, CISA a publié le 20 octobre 2025 une alerte urgente sur CVE-2025-33073, une vulnérabilité d’« improper access control » dans le client SMB de Windows, inscrite au catalogue KEV et activement exploitée, pouvant mener à une élévation de privilèges via authentification forcée.
🚨 La faille, liée à CWE-284 (Improper Access Control), cible le protocole SMB de Windows. Des acteurs malveillants peuvent amener une machine victime à initier une connexion SMB vers un serveur attaquant, ce qui force l’authentification et peut accorder un accès non autorisé, facilitant le contrôle complet de l’appareil et la mouvance latérale au sein des réseaux. Le contexte est tendu avec une hausse des incidents SMB en 2025, y compris sur des environnements Azure non corrigés.
Les vecteurs d’attaque mentionnés incluent la fraude sociale et les drive-by downloads, où des utilisateurs exécutent par erreur une charge malveillante. Une fois déclenché, le client SMB s’authentifie auprès du serveur de l’attaquant, contournant les protections habituelles. Bien que CISA indique qu’il n’est pas établi que cette faille alimente des campagnes de ransomware, la méthode rappelle les tactiques historiquement utilisées par des groupes comme LockBit et Conti pour l’accès initial.
🛡️ Côté mitigations, CISA recommande d’appliquer immédiatement les derniers correctifs Microsoft (selon les avis de sécurité) ou de suivre la BOD 22-01 pour les services cloud fédéraux. Si les mitigations ne sont pas possibles, cesser l’usage des produits affectés est préconisé. La surveillance des anomalies SMB via Windows Defender ou des EDR tiers est suggérée. Les organisations disposent d’une fenêtre de remédiation de 21 jours (échéance au 10 novembre), doivent scanner les instances vulnérables (outils cités : Nessus, Qualys), désactiver SMBv1 si non nécessaire et appliquer le moindre privilège.
Le secteur financier et la santé sont cités comme particulièrement exposés au risque d’exfiltration de données ou de déploiement de malwares si la faille n’est pas corrigée. Un analyste de SentinelOne souligne que c’est un classique vecteur d’élévation de privilèges s’appuyant sur des configurations par défaut.
IOCs connus:
- Aucun indicateur technique spécifique n’est fourni dans l’article.
TTPs observés/décrits:
- Ingénierie sociale pour inciter à l’exécution de charge malveillante
- Drive-by downloads
- Forçage d’authentification via connexion SMB sortante vers un serveur contrôlé par l’attaquant
- Élévation de privilèges et mouvance latérale au sein du réseau
Article de presse spécialisé dont le but principal est d’alerter sur une vulnérabilité activement exploitée, relayer l’alerte de CISA et détailler les mitigations et l’échéance de remédiation.
🔗 Source originale : https://cybersecuritynews.com/windows-smb-vulnerability-exploited/