Kritische Windows-Lücke bedroht weiterhin Unternehmensnetzwerke
19.01.2026 - 16:22:12
Eine seit sieben Monaten bekannte Schwachstelle in Windows-Servern bleibt ungepatcht und gefährdet zentrale IT-Infrastrukturen. Das Sicherheitsleck ermöglicht Angreifern die vollständige Übernahme von Unternehmensnetzwerken.
CVE-2025-33073, eine kritische Lücke im Windows-Server Message Block (SMB)-Client, stellt weiterhin eine massive Bedrohung dar. Obwohl Microsoft bereits im Juni 2025 einen Patch bereitstellte, sind laut aktuellen Sicherheitsberichten zahllose Unternehmensnetzwerke nach wie vor verwundbar. Die Schwachstelle im NTLM-Authentifizierungsmechanismus ermöglicht es Angreifern, sich SYSTEM-Berechtigungen zu verschaffen und damit die vollständige Kontrolle über Domänencontroller zu übernehmen.
„Wir finden verwundbare Systeme, darunter kritische Domänencontroller, in einer erschreckenden Anzahl von Netzwerken”, berichtet ein Penetrationstester. Die logische Schwachstelle umgeht sogar etablierte Schutzmaßnahmen wie SMB Signing und eröffnet damit Angriffswege, die eigentlich als geschlossen galten.
Aktuelle Angriffe wie die ungepatchte CVE‑2025‑33073 im SMB/NTLM‑Stack zeigen, wie schnell Angreifer SYSTEM‑Rechte erlangen können, wenn Patches fehlen. Unser kostenloses E‑Book erklärt praxisnah, welche technischen Maßnahmen sofort wirken – von durchgängiger SMB‑Signing‑Policy über LDAP‑Channel‑Binding und eingeschränkte DNS‑Berechtigungen bis zur Netzwerksegmentierung – und liefert Checklisten für Incident‑Response und Patch‑Management. Ideal für IT‑ und Sicherheitsverantwortliche, die Active‑Directory‑Komplettkompromisse verhindern wollen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen
So funktioniert der Angriff
Der Angriff nutzt bekannte Techniken wie PetitPotam oder DFSCoerce, um einen hochprivilegierten Server – etwa einen Domänencontroller – zur Authentifizierung bei einem bösartigen Server zu zwingen. Der Clou: Der Angreifer leitet diese Authentifizierungsanfrage zurück an das ursprüngliche Zielsystem.
Dabei kopiert der Local Security Authority Subsystem Service (LSASS) das hochprivilegierte System-Token in einen gemeinsamen Kontext. Durch das Weiterleiten erbt der Angreifer diese SYSTEM-Rechte – ohne Passwörter knacken zu müssen. Die Einstiegshürde ist alarmierend niedrig: Ein Angreifer benötigt lediglich normale Benutzerrechte im Netzwerk und die Möglichkeit, einen schädlichen DNS-Eintrag zu erstellen. In Standard-Active-Directory-Umgebungen kann das jeder authentifizierte Nutzer.
Warum die Gefahr weiter besteht
Das Hauptproblem ist die mangelnde Patch-Bereitschaft. Obwohl der Sicherheitsupdate seit über einem halben Jahr verfügbar ist, haben viele Unternehmen ihn nicht installiert. Dabei betrifft die Lücke mit CVSS-Score 8.8 unterstützte Versionen von Windows 10, Windows 11 und Windows Server.
„Die aktive Ausnutzung dieser Schwachstelle wurde bereits bestätigt”, warnt ein Sicherheitsexperte. Öffentlich verfügbare Tools machen den Exploit auch für weniger versierte Angreifer zugänglich. In Kombination mit anderen Schwachstellen können sich Angreifer lateral durch Netzwerke bewegen, Zugangsdaten abgreifen und Ransomware oder andere Malware einschleusen.
Die Situation erinnert an andere kritische Lücken, deren langsame Behebung verheerende Folgen hatte. Sie offenbart eine potenzielle Lücke im Risikomanagement vieler Sicherheitsteams.
So schützen Sie Ihr Unternehmen
Die oberste Priorität muss das Patchen aller betroffenen Systeme mit dem Update vom Juni 2025 oder einem späteren kumulativen Update sein. Doch Patchen allein reicht nicht. Experten empfehlen eine mehrschichtige Verteidigungsstrategie:
- SMB Signing durchsetzen: Obwohl die Schwachstelle diesen Schutz in manchen Szenarien umgehen kann, bietet eine durchgängige Aktivierung eine wichtige Sicherheitsebene.
- LDAP Channel Binding aktivieren: Diese Einstellung verhindert, dass Zugangsdaten an Active-Directory-Dienste weitergeleitet werden.
- DNS-Berechtigungen einschränken: Standardbenutzer sollten keine DNS-Einträge mehr erstellen dürfen – das blockiert einen Hauptangriffsvektor.
- Netzwerksegmentierung: Durch die Trennung von Netzwerkbereichen wird die Kommunikation mit kritischen Servern von weniger sicheren Zonen aus unterbunden.
Angesichts der aktiven Bedrohungslage und des verheerenden Schadenspotenzials sollten Sicherheitsteams diese Schwachstelle als kritische Priorität behandeln. Ein kompletter Kompromiss der Active-Directory-Umgebung könnte zu massiven Datenlecks, finanziellen Verlusten und erheblichem Reputationsschaden führen.
PS: Sie möchten verhindern, dass ähnliche Schwachstellen Ihr Unternehmen lahmlegen? Der Gratis‑Report „Cyber Security Awareness Trends“ fasst bewährte Strategien zusammen: Awareness‑Maßnahmen, Anti‑Phishing‑Controls, einfache technikbasierte Schutzschritte und Budget‑freundliche Checklisten zur Prävention. Er enthält konkrete Umsetzungs‑Tipps, Vorlagen und Priorisierungslisten, damit IT‑Teams sofort starten und Risiken reduzieren können. Gratis E‑Book “Cyber Security Awareness Trends” sichern
