更多全球网络安全资讯尽在邑安全
一个影响 Windows 系统的关键零日漏洞,允许攻击者通过新颖的反射式 Kerberos 中继攻击实现权限提升。
该漏洞被命名为 CVE-2025-33073,由 Microsoft 于 2025 年 6 月 10 日修补,作为其每月补丁星期二安全更新的一部分。
Microsoft 已将此漏洞的 CVSS 评分为 9.8(严重),因为该漏洞的攻击复杂度较低,并且对机密性、完整性和可用性的影响较大。
反射式 Kerberos 中继攻击
RedTeam 渗透测试报告称,反射式 Kerberos 中继攻击代表了身份验证中继技术的重大发展,绕过了自 2008 年以来实施的 NTLM 反射限制。
攻击从身份验证强制开始,攻击者使用技术强制 Windows 主机使用计算机帐户的凭据通过 SMB 对其系统进行身份验证。
核心技术挑战涉及使用
CredUnmarshalTargetInfo/CREDENTIAL_TARGET_INFORMATIONW 技巧将强制目标和服务主体名称 (SPN) 解耦,该技巧最初由 Google Project Zero 的 James Forshaw 开创。
此技术允许攻击者注册指向其攻击系统的主机名,同时导致为完全不同的主机颁发 Kerberos 票证。
研究人员使用他们的 wspcoerce 工具演示了这种攻击,其命令结构如下:
该攻击还需要绕过 NTLM 优先级,因为 Windows 在连接到自身时默认为 NTLM。攻击者必须修改 krbrelayx 等工具才能不通告 NTLM 功能,从而强制进行 Kerberos 身份验证。
该漏洞最令人担忧的方面是其意外的权限提升功能。
当攻击者将 Kerberos 票证中继回原始主机时,他们不会接收具有计算机帐户权限的低权限会话,而是获得足以远程执行代码的 NT AUTHORITYSYSTEM 权限。
研究人员推测,这是由于 Windows 对本地环回身份验证的保护,该身份验证将 Kerberos 票证链接到其原始进程。
系统似乎对攻击场景感到困惑,其中高权限 NT AUTHORITYSYSTEM 帐户使用低权限计算机帐户凭据执行身份验证。
这会导致包含将票证链接到原始进程的 KERB_AD_RESTRICTION_ENTRY 和 KERB_LOCAL 结构,最终继承 NT AUTHORITYSYSTEM 权限。
| 风险因素 | 详 |
|
|
|
|
|
|
|
|
|
|
|
|
缓解策略
该漏洞影响 Windows 10、11 和 Server 版本 2019 到 2025,在补丁前环境中没有已知的免疫版本。
但是,成功利用该漏洞需要身份验证强制和 SMB 中继功能。SMB 强制对早于 23H2 的所有客户端和服务器都能可靠地工作,而较新的服务器版本可能具有不同的敏感性。
强制服务器端 SMB 签名时,将阻止 SMB 中继。虽然此保护在 Windows 11 24H2 客户端和域控制器上默认启用,但在大多数服务器上仍然是可选的。
组织应优先启用服务器端 SMB 签名和其他安全功能(如通道绑定和 EPA),因为这些缓解措施对 NTLM 和 Kerberos 安全性都至关重要。
这一发现突显了围绕基于 Kerberos 的攻击不断变化的威胁态势,并强调为 NTLM 开发的安全措施对于 Kerberos 环境仍然同样重要。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/windows-smb-client-zero-day-vulnerability/
原文始发于微信公众号(邑安全):Windows SMB客户端零日漏洞遭利用:攻击者采用反射型Kerberos中继攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论