Публикувана на 21.10.2025 от Христо Петров
Последна промяна на 22.10.2025
Служител с най-обикновен потребителски акаунт може да получи SYSTEM права над сървъра на организацията, в която работи; или пък да бърника в компютъра на мениджър или системния администратор.
Тази заплаха е надвиснала над стотици Windows сървъри с български IP адреси. Причината е уязвимост в Windows SMB Client(CVE-2025-33073), която позволява на обикновен потребител да повиши правата си до степен, в която може да прави с машината каквото си иска.
Тази уязвимост е била пачната още през юни 2025. Тъй като е неизвестно колко от организациите, които използват Windows Server в България, са инсталирали пача и използват защитни мерки, всички системи със засегнати версии на софтуера следва да се считат за потенциално уязвими.
Справка в Shodan показва, че броят им е поне 327: с уточнението, че това са само достъпните през интернет машини, а общият брой на потенциално засегнатите сървъри вероятно е по-голям.
Някои от сървърите работят с много стари версии на Windows Server (например 2008 R2), които не получават безплатна поддръжка от години и значително увеличава риска да не са пачнати.
Активно експлоатирана уязвимост
Това не е просто теоретична опасност. Агенцията по киберсигурност и сигурност на инфраструктурата на САЩ (CISA) разполага с данни, че уязвимостта се експлоатира.
Необходимо условие за атака е злонамереното лице да има акаунт в системата. Последното свива кръга от извършители основно до служители на организацията (но не само).
Те могат да ескалират правата си и да получат достъп до данни, до които не би следвало да имат достъп. Могат също така да компрометират данни, работни процеси и като цяло да объркат плановете на шефовете.
Знаехте ли, че 5% от киберинцидентите в България са резултат от злоумишлени действия на служители?
Атака би могла да се осъществи и от външен човек, който се е докопал до потребителско име и парола на служител в организацията.
Има различни варианти това да се случи; например чрез фишинг или социално инженерство. Друг начин е служителят да залепи на стената лист с паролата си написана на него, а после телевизионната камера да хване в кадър листа и да го излъчи в телевизионен репортаж пред цяла България (всяка прилика с реални събития е напълно случайна).
Как да се предпазите
Най-важната стъпка е да пачнете системата, ако все още не сте го направили. Това са инструкциите от Microsoft.
Като допълнителни защитни мерки:
- използвайте двуфакторна автентикация;
- използвайте подписване на SMB сесии и криптиране, ако се поддържа;
- ограничете броя на акаунтите с повишени привилегии;
Искате да научавате новините на момента?
|| >>> Следвайте Questona във Facebook || >>> Следвайте Questona в LinkedIn ||
Подобни статии
