文章总结： CVE-2025-33073漏洞复活NTLM反射攻击，攻击者仅需域用户凭据即可在未打补丁且未强制SMB签名的成员服务器上获得SYSTEM权限，结合无约束委派配置可快速攻陷整个域。文章指出企业访问模型存在单跳系统盲点，强调应同步加固域控制器及其访问路径，并给出修补漏洞、启用SMB签名、标记敏感账户等可操作缓解措施。 综合评分： 92 文章分类： 漏洞分析,内网渗透,红队,实战经验,解决方案

反思您的分层模型：CVE-2025-33073 和单跳问题

Ots安全

2026年3月28日 18:47 广东

威胁简报

恶意软件

漏洞攻击

虚假的安全感

在大多数 Active Directory 环境中，域控制器上的 SMB 签名已成为标准做法。但这种强化措施可能造成了一种虚假的安全感。CVE-2025-33073 改变了这种局面，它取消了管理员访问权限的先决条件，使得攻击者能够通过不受限制的委派利用 NTLM 中继攻击来入侵 Active Directory。

域控制器默认强制执行 SMB 签名，而工作站和成员服务器则不强制执行。然而，这种差异已经存在十多年了，而且大多数组织都接受了这种现状。

剩余的差距

对成员服务器发起中继攻击是可能的，但利用这些攻击需要特定的条件：中继帐户需要目标上的权限，而机器帐户身份验证（最容易强制执行）通常无法提供直接访问本地管理员的途径。

CVE-2025-33073 改变了这种计算方式，取消了管理员访问权限的前提条件。

该漏洞由 RedTeam Pentesting [1]和 Synacktiv [2]的研究人员于 2025 年 6 月披露，它复活了 NTLM 反射攻击，这种攻击类型此前被广泛认为已被缓解。攻击者利用 Windows 处理 DNS 记录中目标信息的方式，诱使 SMB 客户端触发本地 NTLM 身份验证。其结果是：攻击者可以在任何已加入域的计算机上以 SYSTEM 身份执行已认证的远程代码，而无需强制执行 SMB 签名。唯一的前提条件是拥有网络访问权限和域用户的凭据。

最糟糕的情况非常简单：一个未打补丁且未强制执行 SMB 签名的域控制器。研究人员已对此路径进行了详尽的记录；因此，CVE-2025-33073 漏洞会导致域控制器上的 SYSTEM 权限被授予，进而只需很短的时间即可获得 DCSync 权限并最终攻破整个域。但即使是已经为其域控制器打补丁或确认强制执行 SMB 签名的组织也并非绝对安全。任何未强制执行 SMB 签名的已加入域的系统都可能受到此漏洞的影响，而某些此类系统本身也存在着攻破域的途径。

微软的企业访问模型[3]是近十年前首次发布的AD管理层级模型的演进版本，它为保护特权资产提供了清晰的指导。组织将系统划分为不同的层级：0层用于身份基础架构，1层用于企业服务器，2层用于工作站，并据此应用相应的控制措施。域控制器位于0层。它们受到最严格的策略、最全面的监控，并在安全审查中受到最多的关注。

单跳问题

这种以资产为中心的策略乍一看似乎合情合理：识别核心资产，为其筑起防御工事，并监控入口。但它存在一个不易察觉的缺陷：它关注的是第0层级是什么，而不是攻击者如何攻破它。

有趣的是，企业访问模型承认了这一局限性。该模型提供的指南还包含一个在实践中经常被忽视的原则：“任何能够管理更高层级的系统或用户帐户，无论最初是否预期，都是该层级的成员。” [4]该文档以虚拟化为例：能够对域控制器进行快照的虚拟机管理程序管理员可以提取凭据材料，从而使该虚拟机管理程序实际上成为第 0 层级，无论组织如何对其进行分类。

同样的逻辑也适用于多种此类系统。这些都是一跳系统：一旦攻破它们，就离掌握王国的钥匙仅一步之遥。

理解单跳系统

在 Active Directory 中，最常见且潜在最危险的单跳配置之一是无约束委派。配置为无约束委派的系统会缓存任何通过身份验证的主体的票证授予票证 (TGT) 副本，这种设计可以追溯到 Windows 2000。攻击者如果利用 CVE-2025-33073 漏洞并获得此类主机上的 SYSTEM 权限，就可以强制域控制器进行身份验证，捕获域控制器的计算机帐户 TGT，并使用该帐户执行 DCSync 操作。

这里的关键在于，这一切都不需要攻破域控制器本身。域控制器上的 SMB 签名可以防止针对它的中继攻击，但无法阻止域控制器在受到胁迫时向其他系统进行身份验证。TGT 委派是预期行为，而安全漏洞则存在于架构中。CVE-2025-33073 更清晰地揭示了这一已知弱点。一些组织正确地加强了域控制器的防御，使其免受中继攻击，但却没有修补那些可能胁迫域控制器并窃取其凭据的系统。

域名入侵

为了演示从低权限域用户到域被攻破的完整路径，我们使用了 Orange Cyberdefense 的 GOAD 实验室环境[5]。MEEREEN 是 ESSOS.LOCAL 的域控制器，BRAAVOS 是我们配置为无约束委派的成员服务器，我们从标准域用户的凭据开始。

攻击演示

第一步是找到启用了非约束委派且未强制执行 SMB 签名的系统。此前，要确认目标系统是否已针对特定 CVE 漏洞进行修补，需要对该机器拥有管理员权限。这涉及到检查已安装的知识库 (KB)、读取注册表项或使用提升的凭据运行漏洞扫描器。对于 CVE-2025-33073，Depth Security 的 RelayKing [6][7]通过查询 DCERPC 的更新版本修订 (UBR) 解决了这个问题，而 DCERPC 可以使用低权限域凭据访问。这样，无需目标系统的管理员权限即可确定主机的补丁级别是否早于 2025 年 6 月的修复程序。一旦编制出这些主机的列表，我们就可以利用该列表findDelegation查找配置了启用了非约束委派且具有现有 SPN 的系统。

ADUC 委派选项卡确认了以下设置：“信任此计算机以委派给任何服务（仅限 Kerberos）”。

具体来说，该漏洞的运作方式是通过 LDAP 添加一条 DNS 记录，该记录的主机名中包含经过序列化的目标信息。任何经过身份验证的域用户都可以执行此操作，因为这是 AD 集成 DNS 中的默认权限。精心构造的记录名称遵循 1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA 的格式，这会导致目标的 SMB 客户端将由此产生的连接解释为本地身份验证。

ntlmrelayx捕获反射型身份验证并建立管理 SMB 会话AdminStatus: TRUE；我们在 BRAAVOS 上有 SYSTEM 权限。

现在，我们以 SYSTEM 身份部署在不受限制的委派主机上，并使用 PrinterBug [8]强制 MEEREEN 向 BRAAVOS 进行身份验证。当 DC 向受信任的、可进行不受限制委派的系统进行身份验证时，其 TGT 将包含在身份验证信息中，并缓存到 LSASS 中。

关键在于：域控制器上的 SMB 签名在这里不起作用。SMB 签名可以防止对域控制器的中继攻击，但它无法阻止域控制器在受到胁迫时向外进行身份验证。TGT 委托协议才是按预期运行的。

Rubeus 利用我们通过 CVE-2025-33073 获得的 SYSTEM 访问权限，实时捕获传入的 TGT。发往[email protected]的票据带有转发和可转发标志；这是一个委派给域控制器计算机帐户的 TGT。

拿到 DC 的 TGT 后，我们转换票据，将其设置为我们的 Kerberos 凭证缓存，然后对krbtgt哈希值进行 DCSync。

secretsdump.py 的输出证实了整个域名已被攻破：已提取出 krbtgt NTLM 哈希值、AES-256、AES-128 和 DES 密钥。由此，为该域名中的任何账户生成黄金票据都易如反掌。

如果具有此配置的单个成员服务器提供了一跳路径以攻破域，则最佳做法是取消不受约束的委派。

但实际上，事情很少这么简单。

为什么不受约束的委托仍然存在

在 Windows 2000 和 Server 2003 中，无约束委派是唯一可用的多跳 Kerberos 身份验证机制。大量企业应用程序都是基于此架构设计的，其中许多至今仍在运行。早于新版委派扩展的业务线应用程序通常无法在不进行大量重构的情况下重新配置。供应商的部署指南将无约束委派指定为一项要求（因为它具有普遍适用性，并且通常可以减轻他们的支持负担），这使得修复工作变成了一场业务谈判，而不仅仅是技术变更。这些应用程序往往是无人愿意触碰的，它们所连接的系统也是无人愿意重启的。

早在 2015 年，Sean Metcalf 就在 Black Hat 大会上就此主题进行了演讲[9] ，人们就已经认识到不受约束的授权所带来的风险。CVE-2025-33073 改变的是攻击的门槛。此前，利用不受约束的授权主机需要本地管理员权限，或者等待特权用户进行自然身份验证。现在，任何拥有网络访问权限的域用户都可以在未打补丁的成员服务器上获得 SYSTEM 权限，而无需 SMB 签名，由此即可轻松攻破域。

对于目前无法移除无约束委派的组织而言，首要任务是缩小风险范围。立即修补 CVE-2025-33073，并优先处理启用了无约束委派的系统。在这些系统上启用 SMB 签名，即使未安装补丁也应阻止中继。将特权用户帐户标记为“帐户敏感且不可委派”，以防止其 TGT 被缓存在委派主机上，并将其添加到“受保护用户”组以获得额外保护。

除了上述缓解措施之外，还有其他纵深防御措施可以从多个环节阻断攻击链。在不受限制的委派系统上启用 LSASS 作为受保护进程轻量级 (RunAsPPL) 运行，可以有效增强防御能力；虽然这并不能阻止域控制器的 TGT 被缓存，但它可以阻止凭据提取步骤，从而防止攻击者利用缓存的票据。在检测方面，CVE-2025-33073 依赖于通过 LDAP 创建 DNS 记录，并在主机名中使用独特的序列化目标信息模式。监控非管理员帐户创建的 DNS 记录，以及机器向自身进行身份验证的 SMB 身份验证，可以让防御者在任何票据被捕获之前，就了解此攻击的早期阶段。

CVE-2025-33073 [10]的教训有两点：加固域控制器固然重要，域控制器上的 SMB 签名仍然必不可少，但如果只加固核心组件而不加固通往核心组件的路径，就会留下漏洞。能够访问核心组件的系统也应该受到与核心组件本身同等的严格审查。

参考

• https://blog.redteam-pentesting.de/2025/reflective-kerberos-relay-attack/
• https://www.synacktiv.com/en/publications/ntlm-reflection-is-dead-long-live-ntlm-reflection-an-in-depth-analysis-of-cve-2025
• https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model
• https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/protecting-tier-0-the-modern-way/4052851
• https://github.com/Orange-Cyberdefense/GOAD
• https://www.depthsecurity.com/blog/introducing-relayking-relay-to-royalty/
• https://www.depthsecurity.com/blog/using-ntlm-reflection-to-own-active-directory/
• https://adsecurity.org/?p=4056
• https://adsecurity.org/?p=1667
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《反思您的分层模型：CVE-2025-33073 和单跳问题》