NTLM反射漏洞可劫持WindowsServerSYSTEM权限

admin 2026-07-02 05:15:55 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 研究人员发布CVE-2026-24294漏洞PoC,可劫持WindowsServer2025SYSTEM权限。该漏洞绕过此前对NTLM反射的修复,利用Windows1124H2和Server2025允许任意TCP端口建立SMB连接的特性,通过两阶段攻击实现本地特权提升。防御者需及时安装补丁、强制启用SMB签名并监控非标准端口流量。 综合评分: 85 文章分类: 漏洞分析,红队,内网渗透,安全工具,解决方案


cover_image

NTLM反射漏洞可劫持Windows Server SYSTEM权限

FreeBuf

2026年7月1日 12:00 上海

在小说阅读器读本章

去阅读

研究人员已发布针对新型 NTLM 反射绕过漏洞的概念验证(PoC)利用代码,该漏洞可导致攻击者在 Windows Server 2025 上获取 SYSTEM 级别权限,这再次引发了对微软身份验证加固机制有效性的担忧。

该漏洞编号为 CVE-2026-24294,表明即使在高危漏洞 CVE-2025-33073(NTLM 反射问题)修复后,Windows 身份验证机制中存在的底层设计缺陷仍未彻底解决。2025 年曝光的 CVE-2025-33073 曾使 NTLM 反射攻击重新成为有效攻击手段,攻击者可诱使 Windows 主机向受控服务发起身份验证,再将验证信息中继回同一台机器以获取 SYSTEM 权限。

Part01

微软修复方案的局限性

微软此前主要通过修改 SMB 客户端来修复漏洞,阻止目标名称包含额外编组信息的连接请求——攻击者曾利用该技术使远程认证看似本地行为。但研究人员警告这种缓解措施存在局限性:只要能在受控服务器上找到获取本地 NTLM 或 Kerberos 认证的新方法,反射攻击就可能卷土重来。

这一预测如今已成现实。新曝光的 CVE-2026-24294 漏洞利用了 Windows 11 24H2 和 Windows Server 2025 引入的特性:允许通过任意 TCP 端口(而非传统的 445 端口)建立 SMB 连接。

Part02

两阶段攻击流程

该特性本意是增强 SMB 部署灵活性,但实际上为未强制启用 SMB 签名的服务器开辟了新的本地 NTLM 反射路径。攻击主要分为两个阶段:

  • 建立恶意连接:攻击者首先在非标准端口(如 12345)启动本地 SMB 服务器,通过类似net use \127.0.0.1\share /tcpport:12345的命令挂载共享,强制 Windows SMB 客户端与恶意本地服务器建立 TCP 连接。由于 SMB 支持多路复用,多个认证会话可复用同一 TCP 连接,Windows 会优先重用现有连接而非新建连接。

  • 中继特权认证:攻击者诱使以 NT AUTHORITY\SYSTEM 身份运行的特权服务(如 LSASS)访问同一共享路径(例如使用改良版 PetitPotam 强制原语)。SMB 客户端通过既有连接向攻击者的本地 SMB 服务器发起认证,由于目标实际指向同一机器,系统会执行本地 NTLM 认证。攻击者捕获特权 NTLM 认证后,使用 Impacket 的 ntlmrelayx 等中继工具将其转发至主机上的真实 SMB 服务,最终建立 SYSTEM 权限的 SMB 会话实现完全本地控制。

Part03

防护建议与修复情况

Synacktiv 研究人员使用 Impacket 的smbserver.py、ntlmrelayx、改良版本地 PetitPotam 二进制文件及 Windowsnet.exe构建了可靠的 PoC。该漏洞默认影响 Windows Server 2025,但在强制启用 SMB 签名的 Windows 11 24H2 上会因协议完整性层拦截中继攻击而失效。

微软已将该问题编号为 CVE-2026-24294,并在 2026 年 3 月补丁星期二发布修复方案。此次事件表明,单纯封堵某一种 NTLM 反射技术远远不够——只要 NTLM 仍被广泛使用且 SMB 签名保持可选状态,攻击者就能持续发现新的特权认证强制与中继方法。

防御者需及时安装补丁、强制启用 SMB 签名、减少 NTLM 使用,并密切监控非标准端口上的异常 SMB 流量,这些措施对预防 Windows Server 环境中的 SYSTEM 级入侵至关重要。

参考来源:

PoC Released for NTLM Reflection Bypass Flaw that Enables SYSTEM Access on Windows Server

PoC Released for NTLM Reflection Bypass Flaw that Enables SYSTEM Access on Windows Server

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《NTLM反射漏洞可劫持Windows Server SYSTEM权限》

评论:0   参与:  0