文章总结： 本文披露WindowsSMB客户端存在NTLM反射漏洞，攻击者利用强制认证与跨协议中继绕过签名机制，获取SYSTEM权限及DCSync能力。文章强调该漏洞普遍存在，建议立即应用2025年6月补丁，强制启用协议签名与信道绑定，并收紧ADDNS权限以缓解风险。 综合评分： 88 文章分类： 渗透测试,漏洞分析,内网渗透

Windows SMB 客户端漏洞使攻击者拥有 Active Directory

原创

O安全研究员 O安全研究员

O安全研究员

2026年1月19日 20:01 广东

这是Windows SMB客户端认证中的一个关键漏洞，使攻击者能够通过NTLM反射攻击攻破Active Directory环境。

该漏洞被归类为不当访问控制漏洞，允许授权攻击者通过精心编排的认证中继攻击，在网络连接上升级权限。

在2025年6月安全补丁发布七个月后，研究显示企业基础设施中普遍存在未被采纳的情况。

几乎在域控制器、零级服务器和工作站的渗透测试中，都能识别出易受攻击的主机。该漏洞利用了Windows NTLM本地认证中的一个基本机制。

当客户端收到标记为本地认证的NTLM_CHALLENGE消息时，系统会创建一个上下文对象，并在保留字段中插入上下文ID。

该机制结合 PetitPotam、DFSCoerce 和 Printerbug 等强制技术，迫使lsass.exe（以 SYSTEM 形式运行）向攻击者控制的服务器进行认证。

随后服务器冒充SYSTEM令牌进行后续作，实际上实现了系统全面入侵。

攻击需求与利用路径

利用需要在AD DNS中注册恶意DNS记录（默认允许认证用户），或在本地网络内进行DNS毒害。

这些低权限要求从根本上增加了攻击面，因为大多数组织并未限制认证用户在 AD DNS 区域创建任意 DNS 记录。

传统的缓解措施对高级利用途径效果不足。

虽然SMB签名通常能防止中继攻击，但研究表明SMB到LDAPS之间成功实现跨协议中继，同时强制签名和信道绑定。

该绕过涉及剥离特定的NTLMSP标志（协商始终标志、协商印章、协商标志），同时保留消息完整性代码。该技术使攻击者能够同时绕过多个安全控制。

超越中小企业签名的攻击面

这种脆弱性不仅限于传统的中小企业间中继。DepthSecurity的研究人员证实，通过跨协议中继技术，成功攻击了ADCS注册服务、MSSQL数据库和WinRMS。

更令人担忧的是，SMB到LDAPS的反射攻击允许攻击者直接控带有系统权限的Active Directory对象。

通过DCSync作实现组成员修改和凭据采集。

基于RPC的中继尝试揭示了与SMB签名类似的会话密钥加密要求，表明Windows的基本认证机制加剧了漏洞的影响。

攻击者成功认证了RPC服务，但在后续作中遇到访问控制，暗示了通过Net-NTLMv1认证可能被利用的途径。

根据DepthSecurity，组织必须立即应用2025年6月的Windows安全更新作为主要缓解措施。此外，应在所有协议中启用签名和信道绑定强制执行，而非仅限于SMB。

重新配置Active Directory DNS区域访问控制列表以限制认证用户创建DNS记录，显著降低了利用的可行性。

安全团队必须优先快速修补NTLM强制攻击技术，并对其基础设施内的NTLM中继攻击手段进行全面审计。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员 O安全研究员《Windows SMB 客户端漏洞使攻击者拥有 Active Directory》