文章总结: 安全研究员发布针对CVE-2026-24294的概念验证(PoC),该漏洞利用WindowsServer2025通过任意TCP端口建立SMB连接的功能,结合本地SMB服务器与强制认证原语实现NTLM反射,最终通过中继特权认证获取系统权限。研究揭示Microsoft对CVE-2025-33073的修复存在局限性,建议防御方及时修补、强制SMB签名、减少NTLM使用并监控非标准端口流量。 综合评分: 90 文章分类: 漏洞分析,漏洞poc,内网渗透,红队,应急响应
针对 NTLM 反射绕过漏洞发布的 PoC 允许 Windows Server 上的系统访问
O安全研究员 O安全研究员
O安全研究员
2026年6月30日 19:37 广东
在小说阅读器读本章
去阅读
针对一个新的NTLM反射绕过漏洞,已发布了一项可用的概念验证(PoC)漏洞,该漏洞使Windows Server 2025能够实现系统级访问,这引发了人们对Microsoft认证加固韧性的新担忧。
该漏洞被追踪为CVE-2026-24294,显示即使在高调的CVE-2025-33073 NTLM反射问题被修补后,Windows认证设计中的潜在弱点仍未完全解决。
2025年,CVE-2025-33073重新引入了NTLM反射,作为一种强大的攻击向量,允许攻击者强迫Windows主机对攻击者控制的服务进行身份验证,然后将该认证反馈给同一台机器以获得系统权限。
Microsoft的修复重点是SMB客户端,阻断目标名称中包含额外编组目标信息的连接。该技术被滥用,使远程认证看起来像是本地化。
为NTLM反射绕过缺陷发布的PoC
研究人员警告说,这种缓解措施很狭窄:如果能找到其他方式在受控服务器上获得本地NTLM或Kerberos认证,反射攻击可能会再次出现。
这一预测如今已成真。新的 CVE-2026-24294 漏洞滥用了 Windows 11 24H2 和 Windows Server 2025 引入的一项功能,该功能允许通过任意 TCP 端口实现 SMB 连接,而非传统的 445 端口。
此功能旨在提高中小企业部署的灵活性。然而,实际上它为不强制SMB签名的服务器开辟了本地NTLM反射的新路径。
攻击分为两个主要阶段。首先,攻击者启动本地SMB服务器,监听非标准端口(如12345),并使用类似“net use \127.0.0.1\share /tcpport:12345”这样的命令挂载共享。
这迫使 Windows SMB 客户端建立并维护与恶意本地服务器的 TCP 连接。
由于SMB支持复用,多个认证会话可以重复使用同一条TCP连接,Windows更倾向于重复使用已有连接,而不是新建连接。
第二阶段,攻击者通过修改过的PetitPotam风格强制原语,比如运行为NT AUTHORITY\SYSTEM的特权服务(如LSASS)访问相同的共享路径。
SMB客户端随后通过已建立的连接向攻击者的本地SMB服务器进行认证,执行本地NTLM认证,因为目标实际上已解析到同一台机器。
攻击者捕获了这个特权的NTLM认证,并通过中继工具(如Impacket的ntlmrelayx)将其中继回主机上的真实SMB服务,导致系统认证的SMB会话和完全的本地攻陷。
Synacktiv 研究人员利用 Impacket 和 ,一个修改的本地 PetitPotam 二进制和 Windows 构建了一个可靠的 PoC 。
smbserver.pyntlmrelayxnet.exe
该漏洞默认在 Windows Server 2025 上有效。然而,在 Windows 11 24H2 上,该系统会失败,因为 SMB 签名被强制执行,并且在协议完整性层阻挡了中继攻击。
Microsoft为该问题分配了CVE-2026-24294,并在2026年3月的补丁星期二发布修复,关闭了该特定的反思路径。
新的PoC表明,仅仅阻断一种NTLM反射技术是不够的;只要NTLM继续被广泛使用,且SMB签名成为可选,攻击者就能不断发现新的方法来强制和传递特权认证。
对于防御方来说,及时补丁、严格的SMB签名、减少NTLM使用以及对非标准端口异常SMB流量的仔细监控,现在对于防止Windows Server环境中类似的系统级入侵至关重要。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:O安全研究员 O安全研究员 O安全研究员《针对 NTLM 反射绕过漏洞发布的 PoC 允许 Windows Server 上的系统访问》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论