文章总结： 新型Kerberos中继攻击利用DNSCNAME别名机制，诱导Windows客户端向攻击者控制的服务请求TGS票证，绕过传统防护实现RCE、横向移动与无密码冒充；微软仅针对HTTP发布CBT补丁，SMB/LDAP等协议仍暴露，组织需逐服务强制签名或通道绑定才能根治。 综合评分： 88 文章分类： 漏洞分析,内网渗透,红队,威胁情报,漏洞POC

新型 Kerberos 中继攻击利用 DNS CNAME 绕过缓解措施——POC已发布

原创

ZM ZM

暗镜

2026年1月20日 08:08 北京

身份验证存在严重缺陷，这大大扩大了 Active Directory 环境中凭据中继攻击的攻击面。

通过滥用 Windows 客户端在 Kerberos 服务票证请求期间处理 DNS CNAME 响应的方式，攻击者可以胁迫系统请求攻击者控制的服务的票证，从而绕过传统的保护措施。

攻击向量

该漏洞的核心在于一个基本行为：当 Windows 客户端收到，它会跟随别名。它会使用 CNAME 主机名作为服务主体名称 (SPN) 来构建票据授予服务 (TGS) 请求。

攻击者若能部署在拦截 DNS 流量的路径上，便可利用此漏洞迫使受害者为攻击者选择的目标请求服务票据。

该技术要求攻击者通过 ARP 投毒、DHCPv6 投毒 (MITM6) 或类似方法建立 DNS

当受害者尝试访问合法的域名资产时，恶意 DNS 服务器会响应一个指向攻击者控制的主机名的 CNAME 记录，以及一个解析到攻击者 IP 地址的 A 记录。

这会导致受害者使用原本用于攻击者目标服务的票据，对攻击者的基础设施进行身份验证。

攻击能力和影响：

| 影响区域 | 描述 | | — | — | | RCE | 通过 ADCS Web 注册进行远程代码执行 (ESC8) | | 中继攻击 | 跨协议中继（HTTP→SMB，HTTP→LDAP） | | 横向移动 | 未经授权的访问和网络传播 | | 冒充 | 无需密码即可冒充用户 |

、Windows Server 2022 和 Windows Server 2025 的默认配置下均可生效。

当未强制执行签名或通道绑定令牌 (CBT) 时，该攻击可成功攻击未受保护的服务，包括 SMB、HTTP 和 LDAP。该漏洞已于 2025 年 10 月负责任地披露给微软。

DNS投毒会将受害者重定向到恶意目标，强制发起Kerberos TGS请求。（来源：Cymulate）

作为回应，微软为 HTTP.sys 实施了 CBT 支持。它在 2026 年 1 月的安全更新中发布了针对受支持的 Windows Server 版本的补丁，跟踪编号为。

然而，这种缓解措施仅针对 HTTP 中继场景。底层 DNS CNAME 强制转换机制保持不变，其他协议仍然存在安全漏洞。

上发布了 MITM6 工具的修改版，该版本具备 CNAME 污染功能。该工具支持针对特定域名或所有 DNS 查询的定向 CNAME 污染。

包含用于集成 ARP 欺骗的仅 DNS 模式，并支持关键基础设施连接的透传。利用此漏洞需要 Python 3.x 和操作系统。

adcs-server.mycorp.local 的记录指向攻击者的 IP 地址（来源：Cymulate）

这项研究强调了一个关键的安全现实：Kerberos 本身并不能从根本上阻止中继攻击。保护措施的实施取决于服务层。

仅仅禁用 NTLM 是不够的；组织必须在每个启用 Kerberos 的服务中明确强制执行防中继保护，才能有效消除中继风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《新型 Kerberos 中继攻击利用 DNS CNAME 绕过缓解措施——POC已发布》