2026-01-20 01:08:50 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： WindowsSMB客户端CVE-2025-33073因NTLM反射可让低权限攻击者通过DNS投毒或ADDNS注册恶意记录，将SYSTEM身份中继至LDAPS、ADCS、MSSQL等服务，直接控制ActiveDirectory；补丁已发布七个月但企业普遍未安装，需立即打补丁、全协议强制签名与通道绑定并限制DNS记录创建权限。 综合评分： 88 文章分类： 漏洞分析,ActiveDirectory,内网渗透,威胁情报,安全运营

cover_image

Windows SMB 客户端漏洞使攻击者能够控制 Active Directory

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月19日 19:16 北京

Windows SMB 客户端身份验证中的一个严重漏洞，攻击者可以利用该漏洞通过 NTLM 反射攻击来入侵Active Directory环境。

该漏洞被归类为不当访问控制漏洞，它允许授权攻击者通过精心策划的身份验证中继攻击，利用网络连接来提升权限。

在 2025 年 6 月安全补丁发布七个月后，研究显示企业基础设施普遍未采用该补丁。

几乎每次渗透测试都会在域控制器、零层服务器和工作站上发现易受攻击的主机。该漏洞利用了Windows NTLM本地身份验证中的一个基本机制。

当客户端收到标记为本地身份验证的 NTLM_CHALLENGE 消息时，系统会创建一个上下文对象，并将上下文 ID 插入到保留字段中。

该机制与 PetitPotam、DFSCoerce 和 Printerbug 等强制技术相结合，迫使 lsass.exe（以 SYSTEM 身份运行）向攻击者控制的服务器进行身份验证。

然后服务器会冒充 SYSTEM 令牌进行后续操作，从而有效地完全控制系统。

攻击需求和利用途径

利用此漏洞需要要么在 AD DNS 中注册恶意 DNS 记录（默认情况下允许已验证用户这样做），要么在本地网络中执行 DNS 投毒。

这些低权限要求从根本上增加了攻击面，因为大多数组织没有限制已认证用户在 AD DNS 区域中创建任意 DNS 记录。

传统的缓解措施不足以应对高级攻击手段。

虽然SMB 签名通常可以防止中继攻击，但研究表明，通过强制执行签名和通道绑定，可以成功地从 SMB 到 LDAPS 进行跨协议中继。

这种绕过方法涉及移除特定的 NTLMSSP 标志（始终协商签名、协商密封、协商签名），同时保留消息完整性代码。该技术使攻击者能够同时绕过多个安全控制措施。

超出SMB签名范围的扩展攻击面

该漏洞的影响范围不仅限于传统的 SMB 到 SMB 中继。DepthSecurity 的研究人员证实，通过跨协议中继技术，针对 ADCS 注册服务、MSSQL 数据库和 WinRMS 的攻击已取得成功。

更令人担忧的是，SMB 到 LDAPS 反射攻击允许攻击者直接使用SYSTEM 权限操纵 Active Directory 对象。

通过 DCSync 操作启用组成员身份修改和凭证收集。

基于 RPC 的中继尝试揭示了与 SMB 签名类似的会话密钥加密要求，这表明基本的Windows身份验证机制加剧了该漏洞的影响。

攻击者成功通过 RPC 服务进行身份验证，但在后续操作中遇到访问控制，这表明可以通过 Net-NTLMv1 身份验证进行攻击。

根据DepthSecurity 的建议，企业必须立即应用 2025 年 6 月的 Windows 安全更新，作为首要缓解措施。此外，还应在所有协议（不仅限于 SMB）上启用签名和通道绑定强制执行。

重新配置 Active Directory DNS 区域访问控制列表，限制已验证用户创建 DNS 记录，可显著降低被利用的可能性。

安全团队必须优先考虑迅速修补 NTLM 强制技术漏洞，并对整个基础设施中的 NTLM 中继攻击方法进行彻底审计。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿网络安全9527 网络安全9527《Windows SMB 客户端漏洞使攻击者能够控制 Active Directory》