CVE-2025-33073: quando NTLM Reflection trasforma una falla SMB in Domain Compromise

Nonostante gli sforzi di Microsoft per spingere Kerberos come meccanismo di autenticazione predefinito, NTLM continua a essere uno dei pilastri (e dei punti deboli) delle infrastrutture Windows enterprise.

Con la scoperta della CVE-2025-33073, una vulnerabilità critica nel client SMB di Windows, l’attenzione torna nuovamente sulla sicurezza di Active Directory.

Questa non è una falla teorica: se sfruttata correttamente, può portare a privilegi SYSTEM e, in determinati scenari, al controllo completo del dominio tramite tecniche avanzate di NTLM Reflection.

Cos’è la CVE-2025-33073 (in breve)

La vulnerabilità risiede in una gestione impropria dei controlli di accesso durante l’autenticazione NTLM via SMB.

Il problema non è il singolo protocollo, ma l’interazione tra SMB, NTLM e LDAPS, che apre la strada a un attacco di escalation laterale estremamente potente.

Anatomia dell’attacco: da SMB a LDAPS

A differenza dei classici attacchi di NTLM relay, qui siamo di fronte a un meccanismo più sofisticato, basato sulla riflessione della sessione di autenticazione.

1. Innesco (SMB coercion)

L’attaccante induce un sistema Windows (client o server) a stabilire una connessione SMB verso una macchina sotto il suo controllo.

2. Riflessione NTLM

Invece di limitarsi alla cattura dell’hash, l’attaccante riflette la sessione NTLM attiva verso un altro servizio interno, tipicamente LDAPS sul Domain Controller.

3. Escalation su Active Directory

Poiché la richiesta appare come originata da un account di sistema legittimo, il Domain Controller accetta l’operazione.

A questo punto l’attaccante può:

modificare l’appartenenza ai gruppi AD,

resettare password,

alterare oggetti critici del dominio.

Il risultato è una escalation da vulnerabilità locale a compromissione infrastrutturale.

Perché questa vulnerabilità è un “game changer”

Ciò che rende la CVE-2025-33073 particolarmente pericolosa è la sua capacità di bypassare molte difese tradizionali:

il traffico è interno e legittimo,

sfrutta protocolli standard,

non richiede exploit rumorosi o malware persistenti.

In assenza di un monitoraggio specifico dei log NTLM, SMB e LDAP, l’attacco può passare inosservato anche a EDR e antivirus moderni.

Punto chiave:

La transizione forzata da SMB a LDAPS chiude il cerchio della compromissione, trasformando una falla di autenticazione in un Domain Takeover.

Come mettere in sicurezza l’infrastruttura Active Directory

Affidarsi esclusivamente al patching non è più sufficiente. Serve un approccio strutturato e proattivo.

1. Patching prioritario

Applicare immediatamente gli aggiornamenti di sicurezza Microsoft relativi:

al client SMB,

ai moduli NTLM/Kerberos.

2. LDAP Signing e Channel Binding

Configurare i Domain Controller per richiedere obbligatoriamente:

LDAP Signing,

LDAP Channel Binding.

Questa misura rende tecnicamente impossibili relay e reflection verso LDAPS.

3. Riduzione (ed eliminazione) di NTLM

Avviare una transizione verso un ambiente NTLM-free:

abilitare l’audit NTLM,

identificare le dipendenze legacy,

forzare Kerberos dove possibile.

4. Hardening SMB

Abilitare SMB Signing obbligatorio su tutta la rete.

Limitare l’esposizione dei servizi SMB non necessari.

Conclusioni

La CVE-2025-33073 è l’ennesima dimostrazione che Active Directory non è mai “sicura per impostazione predefinita”.

I protocolli legacy come NTLM continuano a rappresentare un rischio sistemico, soprattutto quando combinati con servizi critici come SMB e LDAP.

Proteggere AD oggi significa:

ridurre la superficie d’attacco,

monitorare l’uso dei protocolli legacy,

applicare il principio del Least Privilege in modo rigoroso.

Non è più una best practice.

È una necessità per la sopravvivenza del business nel panorama attuale delle minacce.

 

Link Utili:

NIST: NIST CVE-2025-33073

MICROSOFT: MICROSOFT CVE-2025-33073

 

Componenti RED TEAM Cyber Security Analyst – Attacco passo-passo: prospettiva Red Team

Dal punto di vista di un Red Team, la CVE-2025-33073 rappresenta un pivot ideale: basso rumore, alta affidabilità e impatto infrastrutturale elevato.

Fase 1 – Ricognizione interna

L’attaccante individua:

host Windows vulnerabili (client o server),

assenza di SMB Signing obbligatorio,

Domain Controller con LDAPS attivo ma senza LDAP Channel Binding.

Questa fase può essere svolta senza exploit attivi, analizzando configurazioni e policy.

Fase 2 – Coercizione SMB

Viene forzato il sistema vittima a iniziare una connessione SMB verso un host controllato dall’attaccante.

Tecniche comuni includono:

coercion tramite servizi RPC,

abuso di funzionalità legacy,

trigger applicativi che utilizzano UNC path.

Fase 3 – NTLM Reflection verso LDAPS

La sessione NTLM stabilita non viene “relayed” in senso classico, ma riflessa verso:

LDAPS del Domain Controller (porta 636).

In assenza di Channel Binding, il DC accetta la richiesta come autenticazione valida di un account privilegiato.

Fase 4 – Abuso di Active Directory

Con il contesto di sicurezza ottenuto, l’attaccante può:

aggiungere un account controllato a gruppi privilegiati,

resettare password di account di servizio,

modificare ACL su oggetti AD critici.

A questo punto, il Domain Compromise è completo, senza aver mai eseguito codice sul DC.

 

Perché è ideale per operazioni stealth

• Nessun dump di credenziali
• Nessun malware persistente
• Traffico apparentemente legittimo
• Logging spesso insufficiente o ignorato

Questo rende l’attacco estremamente efficace in ambienti enterprise maturi ma ancora dipendenti da NTLM.