1.漏洞复现详解

概述：本部分将详细说明分析漏洞成因及具体利用手法。

1.1 漏洞说明

CVE-2025-33073 是 Windows 系统中一个高危的 NTLM 反射漏洞新变种，允许经过身份验证的攻击者在未启用 SMB 签名的目标机器上以 SYSTEM 权限执行任意命令。该漏洞绕过了微软多年来针对 NTLM 反射攻击的多项防护措施，成为近年来影响最广泛的 Windows 认证机制漏洞之一。

图1 MSRC详情页

1.2 漏洞原理

1.2.1 什么是NTLM反射？

NTLM 反射攻击（NTLM Reflection Attack）是一种中间人攻击形式，攻击者通过截获并中继 NTLM 认证流程，将受害者的认证请求反射回其自身或同一网络的其他主机。

其目的是欺骗主机接受自己的认证凭据，从而让攻击者获得SYSTEM等高权限。自2008年的MS08-068补丁起，微软已通过禁止“SMB到SMB”的直接反射来防御此类攻击，使其在现代Windows环境中失效。

1.2.2 CVE-2025-33073是如何实现绕过的？

特殊 DNS 记录触发本地认证

攻击者注册特殊格式的 DNS 记录（如 srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA），其解析结果指向攻击者 IP，但目标主机在认证时误判为本地主机名，触发本地 NTLM 认证分支：

1、本地认证逻辑

当目标主机名与 DNS 记录解析结果匹配时，系统错误地进入本地认证流程（Negotiate Local Call标志），直接将令牌插入 lsass.exe 进程的服务器上下文。

2、权限映射异常

本地认证流程中，机器账户（如 SRV1$）被错误映射为 NT AUTHORITYSYSTEM，而非常规的非特权状态。

Kerberos 反射路径

当目标主机禁用 NTLM 时，攻击者可强制使用 Kerberos 协议：

3、Kerberos 票据反射通过注册 CREDENTIAL_TARGET_INFORMATIONW 格式的 DNS 记录，攻击者接收 Kerberos 服务票据后反射回目标主机，绕过 NTLM 反射防护。

4、协议优先级操控攻击工具（如 krbrelayx.py）禁用 NTLM 支持，强制目标主机使用 Kerberos 认证。

1.2.3 CVE-2025-33073复现

操作系统版本：

Windows Server2012 R2、Windows 10

（均未安装2025年6月补丁）

模拟环境拓扑：

攻击过程使用账户michael为普通账户

使用dnstool设置DNS记录

下载地址：https://github.com/dirkjanm/krbrelayx/tree/master

python dnstool.py -u host\name -p password -r record-data -d attacker-ip --action add dns-ip

如果原先已经添加，则-a选择modify

使用impacket中的ntlmrelayx执行监听

sudo impacket-ntlmrelayx -t 192.168.41.140 -smb2support -ts -c "whoami"

利用PetitPoatm.py发起强制认证

下载地址：https://github.com/topotam/PetitPotam/tree/main

sudo impacket-ntlmrelayx -t 192.168.41.137 -smb2support -ts -c "whoami"

2.漏洞排查修复方法

2.1 排查方法

2.1.1 DNS记录

运行dnsmgmt.msc，该情形只适用于使用dnstool等工具添加记录，能看到长度异常的记录。

2.1.2 系统日志

通过日志排查，能发现大量匿名登录的记录，这是由PetitPotam强制认证所产生的。

2.2 修复方法

2.2.1 强制启用网络协议签名

使用管理权限，打开组策略管理 (gpmc.msc)。

导航至 计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

找到 Microsoft 网络服务器: 数字签名通信(始终) 并设置为已启用。

2.2.2 安装微软 2025年6月补丁

仍在生命周期中的产品，可通过自动更新修复该问题

https://learn.microsoft.com/zh-cn/lifecycle/products/

或手动打补丁

https://catalog.update.microsoft.com/Search.aspx?q=KB5060533

修复后效果：