美國網路安全和基礎設施安全局（CISA）近日發布一項緊急警告，指出一個高嚴重性的Windows Server Message Block（SMB）權限提升漏洞正在遭受威脅行為者的大規模積極利用，這對全球，特別是對於依賴微軟Windows環境的企業和政府機關，構成了極度緊迫的安全威脅。SMB協議作為Windows網路中檔案共享、印表機共享及其他網路通訊的基石，其安全性一旦被攻破，影響層面之廣、危害程度之深是難以估計的。此漏洞的直接影響是允許攻擊者在未修補的系統上取得「SYSTEM」級別的權限，這意味著攻擊者將獲得對受感染系統的完全控制權，包括任意執行程式碼、修改配置、植入惡意軟體或竊取敏感資料等，其嚴重性不容忽視。

CISA 表示，威脅行為者目前正在積極利用高嚴重性的 Windows SMB 權限提升漏洞，該漏洞可讓他們在未修補的系統上獲得 SYSTEM 權限。此安全漏洞編號為 CVE-2025-33073，影響所有 Windows Server 和 Windows 10 版本，以及最高至 Windows 11 24H2 的 Windows 11 系統。為了利用此漏洞，攻擊者可以執行特製的惡意腳本，強制受害者電腦使用 SMB 重新連接到攻擊系統並進行身份驗證，這可能會導致權限提升。CISA 尚未分享有關正在進行的 CVE-2025-33073 攻擊的更多信息，但它已將該漏洞添加到其已知被利用的漏洞目錄中，並給予聯邦民事行政部門 (FCEB) 機構三週時間在 11 月 10 日之前保護其係統，這是具有約束力的運營指令 (BOD) 22-01 所規定的。

CVE-2025-33073 的技術根源在於微軟系統中對存取控制的處理不當。攻擊的關鍵在於其誘騙機制：攻擊者無需直接暴力破解或竊取憑證，而是透過惡意腳本，強制受害系統的SMB客戶端在不知情的情況下，回連並向攻擊者控制的惡意SMB伺服器進行身分驗證。一旦這個過程完成，攻擊者便能利用協定中的弱點，成功地將其自身權限從一般用戶提升至SYSTEM級別。在Windows作業系統中，SYSTEM權限是最高的權限等級，高於任何管理員帳戶，等同於作業系統核心本身，這使得後續的攻擊行為幾乎無法被系統安全機制有效阻止。

微軟實際上已在2025年6月的「Patch Tuesday」定期安全更新中修補了此漏洞。當時微軟的公告即已指出，此漏洞源於不當的存取控制，並揭露了攻擊者可以誘使受害者連線到惡意的SMB伺服器，進而危及協議並導致權限提升。儘管修補程式已釋出，且相關漏洞資訊在補丁發布前已在公眾中流傳，但CISA的最新警告證實了惡意攻擊者並未等待，而是選擇在眾多機構尚未完成修補的時間窗內，迅速將概念驗證攻擊轉化為實際的戰場武器。多位來自頂尖資安研究機構的研究人員，包括CrowdStrike、Synacktiv、SySS GmbH、Google Project Zero和RedTeam Pentesting GmbH的專家，均被微軟確認為此漏洞的發現者，這顯示出該漏洞在資安界早已獲得高度關注。

CISA將此漏洞納入其「已知被利用的漏洞目錄」（Known Exploited Vulnerabilities Catalog）的舉動，象徵著對所有聯邦民事行政部門機構發出最嚴厲的修補命令。依據《約束性營運指令》（Binding Operational Directive, BOD）22-01，FCEB機構必須在指定的11月10日截止日期前完成所有受影響系統的修復工作。CISA強調，雖然BOD 22-01的強制性僅針對聯邦機構，但鑑於此類漏洞已成為惡意網路行為者最常使用的攻擊媒介，對聯邦系統構成重大風險，因此強烈敦促包括台灣在內的所有私營和公共部門組織，務必將此主動被利用的安全漏洞視為零日威脅等級，立即採取行動，加速部署相關的微軟安全更新。對於無法立即修補的單位，應考慮實施網路層級的限制，例如透過防火牆限制SMB流量（TCP埠445和139），特別是限制來自外部網路的存取，以降低遭受遠端攻擊的風險。本次事件再次提醒所有IT和資安專業人員，及時且全面的補丁管理是維護網路韌性和防禦體系的首要任務。

資料來源：https://www.bleepingcomputer.com/news/security/cisa-high-severity-windows-smb-flaw-now-exploited-in-attacks/