CVE-2025-33073 漏洞：NTLM 反射攻击的绕过方法及影响

研究人员在对 NTLM 反射攻击的探索中，意外发现了一种独特的攻击路径。通常情况下，将 SMB 认证中继回同一台机器的尝试都会失败，但当使用特殊格式DNS记录，如“srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA” 并指向攻击者 IP 时，攻击却能顺利得手。

在命令行操作中，利用强制认证技术，针对特殊 DNS 记录指向的目标发起攻击，能够成功实现中继，利用 ntlmrelayx.py 工具，可远程导出 SAM 哈希，最终获取到目标机器的管理权限。

深入分析网络抓包数据可以发现，特殊 DNS 记录触发了 NTLM 本地认证机制。服务器在 NTLM_CHALLENGE 消息中设置 “Negotiate Local Call” 标志后，客户端（与服务器同一机器）会将令牌直接插入服务器上下文，且整个过程在 lsass.exe 进程内完成。

普通 IP 地址请求时，“Reserved” 字段为 NULL，该标志未启用。

而特殊 DNS 记录请求时，本地NTLM认证标志被激活，导致认证流程出现重大差异。

服务器判断是否启用本地认证的关键在于检查客户端发送的 NTLM_NEGOTIATE 消息中的工作站名和域名是否与当前机器匹配。特殊 DNS 记录解析后，目标名称的处理结果与机器名匹配，从而触发本地认证流程，为攻击打开大门。

这意味着攻击者可以通过调整攻击策略，绕过常规的防护机制，利用不同认证方式的特点实现攻击目的。

使用强制认证技术迫使 lsass.exe（运行于 SYSTEM 权限）向攻击者控制服务器认证，当本地认证机制被触发后，客户端（lsass.exe）将 SYSTEM 令牌插入服务器上下文，服务器从上下文获取令牌并 impersonate 为 SYSTEM 权限，最终通过 RemoteRegistry 服务远程导出 SAM 数据库，完成权限的非法跃升。

CVE-2025-33073 漏洞的影响范围广泛且危害巨大。它允许已认证的远程攻击者在未强制启用 SMB 签名的机器上执行任意命令，直接获取 SYSTEM 权限。这一攻击无需攻击者具备特殊权限，仅需控制一个 DNS 记录即可发起，大大降低了攻击门槛，使得网络环境中的众多设备暴露在风险之下。

一旦攻击者利用该漏洞成功入侵系统，企业的核心数据可能被盗取、篡改，业务系统的正常运行将受到严重干扰，甚至可能导致整个网络瘫痪，造成难以估量的经济损失和声誉损害。

• 及时安装补丁

  微软已针对 CVE-2025-33073 漏洞发布了补丁，补丁修改了 SMB 客户端的相关函数，增加对目标名称中序列化信息的校验，从根源上修复了漏洞。企业和用户应尽快在系统中安装官方补丁，确保系统处于安全状态。

• 启用 SMB 签名

  启用 SMB 签名是防御该漏洞的有效措施。通过组策略路径 “计算机配置→策略→Windows 设置→安全设置→本地策略→安全选项→Microsoft 网络服务器: 对通信进行数字签名(始终)”（域控组策略中该项是启用的，因此默认配置下的域控不受此漏洞影响），可以开启 SMB 签名功能。这一操作能够有效防止非法的 SMB 认证中继攻击，增强系统的安全性。

• 强化权限管理

  限制 DNS 记录注册权限至关重要。企业应严格管控 DNS 记录的创建和修改权限，避免恶意域名指向内部 IP，防止攻击者利用特殊 DNS 记录发起攻击。同时，加强对网络中各类权限的管理，最小化用户和服务账户的权限，减少攻击造成的危害。

• 加强监控与检测

  部署网星安全 ITDR 产品，能为您提供强大的身份安全设施检测与响应能力。对 CVE-2025-33073 漏洞引发的攻击，在入侵初期就能被敏锐捕捉。同时，产品支持实时监控系统中的认证活动，一旦发现潜在攻击，能迅速触发告警并自动阻断恶意操作，将安全风险降至最低。相比普通 EDR 系统，网星安全 ITDR 产品具备更全面的威胁狩猎能力和更高效的应急响应机制，为企业网络安全构筑起坚实可靠的防线。

  CVE-2025-33073 漏洞的出现再次给网络安全敲响了警钟。在网络技术不断发展的今天，安全威胁也在持续演变。企业和个人都应提高安全意识，及时采取有效的防护措施，构建坚实的网络安全防线，才能在这场永不停歇的攻防战中立于不败之地。

参考链接