针对NTLM反射绕过漏洞发布的PoC允许WindowsServer上的系统访问

admin 2026-07-02 05:28:25 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全研究员发布针对CVE-2026-24294的概念验证(PoC),该漏洞利用WindowsServer2025通过任意TCP端口建立SMB连接的功能,结合本地SMB服务器与强制认证原语实现NTLM反射,最终通过中继特权认证获取系统权限。研究揭示Microsoft对CVE-2025-33073的修复存在局限性,建议防御方及时修补、强制SMB签名、减少NTLM使用并监控非标准端口流量。 综合评分: 90 文章分类: 漏洞分析,漏洞poc,内网渗透,红队,应急响应


cover_image

针对 NTLM 反射绕过漏洞发布的 PoC 允许 Windows Server 上的系统访问

O安全研究员 O安全研究员

O安全研究员

2026年6月30日 19:37 广东

在小说阅读器读本章

去阅读

针对一个新的NTLM反射绕过漏洞,已发布了一项可用的概念验证(PoC)漏洞,该漏洞使Windows Server 2025能够实现系统级访问,这引发了人们对Microsoft认证加固韧性的新担忧。

该漏洞被追踪为CVE-2026-24294,显示即使在高调的CVE-2025-33073 NTLM反射问题被修补后,Windows认证设计中的潜在弱点仍未完全解决。

2025年,CVE-2025-33073重新引入了NTLM反射,作为一种强大的攻击向量,允许攻击者强迫Windows主机对攻击者控制的服务进行身份验证,然后将该认证反馈给同一台机器以获得系统权限。

Microsoft的修复重点是SMB客户端,阻断目标名称中包含额外编组目标信息的连接。该技术被滥用,使远程认证看起来像是本地化。

为NTLM反射绕过缺陷发布的PoC

研究人员警告说,这种缓解措施很狭窄:如果能找到其他方式在受控服务器上获得本地NTLM或Kerberos认证,反射攻击可能会再次出现。

这一预测如今已成真。新的 CVE-2026-24294 漏洞滥用了 Windows 11 24H2 和 Windows Server 2025 引入的一项功能,该功能允许通过任意 TCP 端口实现 SMB 连接,而非传统的 445 端口。

此功能旨在提高中小企业部署的灵活性。然而,实际上它为不强制SMB签名的服务器开辟了本地NTLM反射的新路径。

攻击分为两个主要阶段。首先,攻击者启动本地SMB服务器,监听非标准端口(如12345),并使用类似“net use \127.0.0.1\share /tcpport:12345”这样的命令挂载共享。

这迫使 Windows SMB 客户端建立并维护与恶意本地服务器的 TCP 连接。

由于SMB支持复用,多个认证会话可以重复使用同一条TCP连接,Windows更倾向于重复使用已有连接,而不是新建连接。

第二阶段,攻击者通过修改过的PetitPotam风格强制原语,比如运行为NT AUTHORITY\SYSTEM的特权服务(如LSASS)访问相同的共享路径。

SMB客户端随后通过已建立的连接向攻击者的本地SMB服务器进行认证,执行本地NTLM认证,因为目标实际上已解析到同一台机器。

攻击者捕获了这个特权的NTLM认证,并通过中继工具(如Impacket的ntlmrelayx)将其中继回主机上的真实SMB服务,导致系统认证的SMB会话和完全的本地攻陷。

Synacktiv 研究人员利用 Impacket 和 ,一个修改的本地 PetitPotam 二进制和 Windows 构建了一个可靠的 PoC 。

smbserver.pyntlmrelayxnet.exe

该漏洞默认在 Windows Server 2025 上有效。然而,在 Windows 11 24H2 上,该系统会失败,因为 SMB 签名被强制执行,并且在协议完整性层阻挡了中继攻击。

Microsoft为该问题分配了CVE-2026-24294,并在2026年3月的补丁星期二发布修复,关闭了该特定的反思路径。

新的PoC表明,仅仅阻断一种NTLM反射技术是不够的;只要NTLM继续被广泛使用,且SMB签名成为可选,攻击者就能不断发现新的方法来强制和传递特权认证。

对于防御方来说,及时补丁、严格的SMB签名、减少NTLM使用以及对非标准端口异常SMB流量的仔细监控,现在对于防止Windows Server环境中类似的系统级入侵至关重要。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:O安全研究员 O安全研究员 O安全研究员《针对 NTLM 反射绕过漏洞发布的 PoC 允许 Windows Server 上的系统访问》

评论:0   参与:  0