CVE-2025-33073 AD域漏洞深度分析与防御指南<\/h1>

一、漏洞概述<\/h2>

CVE-2025-33073是一个影响Windows系统的逻辑漏洞，允许经过身份验证的远程攻击者（普通域用户）在未强制执行SMB签名的任何机器上以SYSTEM身份执行任意命令。<\/p>

漏洞本质<\/strong>：Windows系统在处理NTLM和Kerberos认证时，对于本地认证的特殊处理方式。特殊的DNS记录被识别为localhost的等效形式，触发了NTLM本地认证，导致lsass.exe的SYSTEM令牌被复制并用于后续操作。<\/p>

影响范围<\/strong>：<\/p>

影响所有未打补丁的Windows系统<\/li>
仅需一个普通域账号即可利用<\/li>
可导致完全控制系统（SYSTEM权限）<\/li> <\/ul>
二、漏洞原理深度分析<\/h2>
2.1 漏洞利用机制<\/h3>
漏洞利用的核心逻辑分为以下步骤：<\/p>

DNS记录注入<\/strong>：攻击者向域DNS注入一条格式特殊的记录（如srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA<\/code>），指向其控制的IP。该名称的前缀与目标主机名一致（如srv1），后缀为固定填充字符。<\/p> <\/li>
名称解析欺骗<\/strong>：当目标机器（如SRV1）被诱骗连接此名称时（通过PetitPotam等工具触发），SMB客户端错误地将该名称解析为本机主机名（srv1），误判为"本地身份认证请求"。<\/p> <\/li>
令牌复制<\/strong>：因误判为本地调用，SMB客户端在NTLMSSP_NEGOTIATE消息中主动填充本机工作站名和域名（正常远程认证中该字段为空）。在本地认证模式下，客户端无需计算挑战响应，而是直接将当前进程的令牌（Token）插入服务端上下文（通过Reserved中的ID传递）。<\/p> <\/li>
权限提升<\/strong>：触发认证的进程是lsass.exe（以SYSTEM权限运行），因此客户端插入的令牌是SYSTEM令牌。服务端获取该令牌后，直接模拟SYSTEM身份执行后续操作（如启动服务、转储SAM数据库）。<\/p> <\/li> <\/ol> 2.2 关键特征分析<\/h3> 特殊DNS记录中的1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA<\/code>字符串实际上是微软定义的CREDENTIAL_TARGET_INFORMATIONW<\/code>结构，通过CredMarshalTargetInfo<\/code>进行Marshall处理后得到。<\/p> 关键发现<\/strong>：<\/p> 字符串中的1UWhR<\/code>（十六进制：31 55 57 68 52）是固定不变的<\/li> 其余部分可以变化，不影响漏洞利用<\/li> <\/ul> 三、漏洞利用实践<\/h2> 3.1 标准利用条件<\/h3> 攻击者拥有一个有效的域账号<\/li> 目标系统未启用SMB签名<\/li> 能够向DNS注入特殊记录或控制目标系统的名称解析<\/li> <\/ol> 3.2 复现环境<\/h3> DC：win2008 受害机器：win2016 攻击机器：kali <\/code><\/pre> 3.3 复现步骤<\/h3> DNS记录注入<\/strong>：在域DNS中注册特殊格式的记录，指向攻击者控制的IP<\/li> 触发连接<\/strong>：使用PetitPotam等工具诱骗目标机器连接该特殊名称<\/li> 捕获令牌<\/strong>：攻击者服务器接收并利用SYSTEM令牌<\/li> <\/ol> 注意<\/strong>：localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA<\/code>是通用格式，只需修改域名指向攻击机器即可，不需要修改域名本身。<\/p> 四、高级利用技巧<\/h2> 4.1 绕过DNS注册限制<\/h3> 在禁止普通用户申请域名解析的环境中，仍有多种绕过方法：<\/p> 权限提升<\/strong>：窃取开发或运维权限申请域名<\/li> 中间人攻击<\/strong>：通过MitM进行mDNS、LLMNR和NetBIOS-NS本地域名解析欺骗<\/li> hosts文件修改<\/strong>：若有管理员权限，可直接修改目标机器的hosts文件<\/li> <\/ol> 4.2 绕过安全监控<\/h3> 由于1UWhR<\/code>是固定特征，其余部分可变，攻击者可利用此特性构造变种域名，绕过基于固定字符串的安全检测。<\/p> 五、防御方案<\/h2> 5.1 止损方案<\/h3> 5.1.1 禁止普通用户注册域名<\/h4> 打开DNS Manager<\/li> 检查域名权限设置<\/li> 取消"经过验证的用户"创建对象的权限<\/li> <\/ol> 注意<\/strong>：需评估对业务的影响，可能影响正常用户操作。<\/p> 5.1.2 强制启用SMB签名<\/h4> 组策略配置<\/strong>：<\/p> 运行gpedit.msc<\/code><\/li> 导航至：Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options<\/code><\/li> 启用"Microsoft网络服务器：对通信进行数字签名（始终）"<\/li> <\/ol> 影响评估<\/strong>：<\/p> 每个SMB数据包均需生成\/验证哈希签名，增加CPU负载<\/li> 频繁读写大文件时，传输速率可能下降10%-20%<\/li> <\/ul> 5.1.3 安装官方补丁<\/h4> 微软官方补丁是最彻底的解决方案。补丁支持情况参考： https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-33073<\/p> 5.2 检测方案<\/h3> 5.2.1 终端检测<\/h4> 监控异常行为：<\/p> 异常服务创建（如通过PsExec）<\/li> 可疑进程链<\/li> 异常权限提升行为<\/li> <\/ul> 5.2.2 DNS监控<\/h4> 监控所有DNS记录（包括内网DNS、AD DNS等）中的可疑模式：<\/p> 包含1UWhR<\/code>特征的记录<\/li> 异常DNS注册行为<\/li> <\/ul> 5.2.3 AD日志分析<\/h4> 虽然AD默认日志特征不强，但仍可关注：<\/p> 异常DNS注册记录<\/li> PetitPotam请求相关的身份验证日志<\/li> <\/ul> 5.2.4 流量分析<\/h4> 监控可疑RPC流量：<\/p> PetitPotam相关的efsrpcopenfileraw<\/code><\/li> PrintBug相关的RpcRemoteFindFirstPrinterChangeNotificationEx<\/code><\/li> <\/ul> 六、总结<\/h2> CVE-2025-33073是一个危害极大的AD域漏洞，具有利用条件低、影响范围广的特点。防御需要采取多层次措施：<\/p> 优先<\/strong>应用官方补丁<\/li> 其次<\/strong>启用SMB签名<\/li> 同时<\/strong>加强DNS权限控制<\/li> 补充<\/strong>多维度监控检测<\/li> <\/ol> 企业应建立纵深防御体系，而非孤立防御，才能有效应对此类高级威胁。<\/p>