打穿AD域漏洞CVE-2025-33073的矛与盾 - 域安全
字数 2403 2025-08-30 06:50:28

CVE-2025-33073 AD域漏洞深度分析与防御指南

一、漏洞概述

CVE-2025-33073是一个影响Windows系统的逻辑漏洞,允许经过身份验证的远程攻击者(普通域用户)在未强制执行SMB签名的任何机器上以SYSTEM身份执行任意命令。

漏洞本质:Windows系统在处理NTLM和Kerberos认证时,对于本地认证的特殊处理方式。特殊的DNS记录被识别为localhost的等效形式,触发了NTLM本地认证,导致lsass.exe的SYSTEM令牌被复制并用于后续操作。

影响范围

  • 影响所有未打补丁的Windows系统
  • 仅需一个普通域账号即可利用
  • 可导致完全控制系统(SYSTEM权限)

二、漏洞原理深度分析

2.1 漏洞利用机制

漏洞利用的核心逻辑分为以下步骤:

  1. DNS记录注入:攻击者向域DNS注入一条格式特殊的记录(如srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA),指向其控制的IP。该名称的前缀与目标主机名一致(如srv1),后缀为固定填充字符。

  2. 名称解析欺骗:当目标机器(如SRV1)被诱骗连接此名称时(通过PetitPotam等工具触发),SMB客户端错误地将该名称解析为本机主机名(srv1),误判为"本地身份认证请求"。

  3. 令牌复制:因误判为本地调用,SMB客户端在NTLMSSP_NEGOTIATE消息中主动填充本机工作站名和域名(正常远程认证中该字段为空)。在本地认证模式下,客户端无需计算挑战响应,而是直接将当前进程的令牌(Token)插入服务端上下文(通过Reserved中的ID传递)。

  4. 权限提升:触发认证的进程是lsass.exe(以SYSTEM权限运行),因此客户端插入的令牌是SYSTEM令牌。服务端获取该令牌后,直接模拟SYSTEM身份执行后续操作(如启动服务、转储SAM数据库)。

2.2 关键特征分析

特殊DNS记录中的1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA字符串实际上是微软定义的CREDENTIAL_TARGET_INFORMATIONW结构,通过CredMarshalTargetInfo进行Marshall处理后得到。

关键发现

  • 字符串中的1UWhR(十六进制:31 55 57 68 52)是固定不变的
  • 其余部分可以变化,不影响漏洞利用

三、漏洞利用实践

3.1 标准利用条件

  1. 攻击者拥有一个有效的域账号
  2. 目标系统未启用SMB签名
  3. 能够向DNS注入特殊记录或控制目标系统的名称解析

3.2 复现环境

DC:win2008
受害机器:win2016
攻击机器:kali

3.3 复现步骤

  1. DNS记录注入:在域DNS中注册特殊格式的记录,指向攻击者控制的IP
  2. 触发连接:使用PetitPotam等工具诱骗目标机器连接该特殊名称
  3. 捕获令牌:攻击者服务器接收并利用SYSTEM令牌

注意localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA是通用格式,只需修改域名指向攻击机器即可,不需要修改域名本身。

四、高级利用技巧

4.1 绕过DNS注册限制

在禁止普通用户申请域名解析的环境中,仍有多种绕过方法:

  1. 权限提升:窃取开发或运维权限申请域名
  2. 中间人攻击:通过MitM进行mDNS、LLMNR和NetBIOS-NS本地域名解析欺骗
  3. hosts文件修改:若有管理员权限,可直接修改目标机器的hosts文件

4.2 绕过安全监控

由于1UWhR是固定特征,其余部分可变,攻击者可利用此特性构造变种域名,绕过基于固定字符串的安全检测。

五、防御方案

5.1 止损方案

5.1.1 禁止普通用户注册域名

  1. 打开DNS Manager
  2. 检查域名权限设置
  3. 取消"经过验证的用户"创建对象的权限

注意:需评估对业务的影响,可能影响正常用户操作。

5.1.2 强制启用SMB签名

组策略配置

  1. 运行gpedit.msc
  2. 导航至:Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
  3. 启用"Microsoft网络服务器:对通信进行数字签名(始终)"

影响评估

  • 每个SMB数据包均需生成/验证哈希签名,增加CPU负载
  • 频繁读写大文件时,传输速率可能下降10%-20%

5.1.3 安装官方补丁

微软官方补丁是最彻底的解决方案。补丁支持情况参考:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073

5.2 检测方案

5.2.1 终端检测

监控异常行为:

  • 异常服务创建(如通过PsExec)
  • 可疑进程链
  • 异常权限提升行为

5.2.2 DNS监控

监控所有DNS记录(包括内网DNS、AD DNS等)中的可疑模式:

  • 包含1UWhR特征的记录
  • 异常DNS注册行为

5.2.3 AD日志分析

虽然AD默认日志特征不强,但仍可关注:

  • 异常DNS注册记录
  • PetitPotam请求相关的身份验证日志

5.2.4 流量分析

监控可疑RPC流量:

  • PetitPotam相关的efsrpcopenfileraw
  • PrintBug相关的RpcRemoteFindFirstPrinterChangeNotificationEx

六、总结

CVE-2025-33073是一个危害极大的AD域漏洞,具有利用条件低、影响范围广的特点。防御需要采取多层次措施:

  1. 优先应用官方补丁
  2. 其次启用SMB签名
  3. 同时加强DNS权限控制
  4. 补充多维度监控检测

企业应建立纵深防御体系,而非孤立防御,才能有效应对此类高级威胁。

CVE-2025-33073 AD域漏洞深度分析与防御指南 一、漏洞概述 CVE-2025-33073是一个影响Windows系统的逻辑漏洞,允许经过身份验证的远程攻击者(普通域用户)在未强制执行SMB签名的任何机器上以SYSTEM身份执行任意命令。 漏洞本质 :Windows系统在处理NTLM和Kerberos认证时,对于本地认证的特殊处理方式。特殊的DNS记录被识别为localhost的等效形式,触发了NTLM本地认证,导致lsass.exe的SYSTEM令牌被复制并用于后续操作。 影响范围 : 影响所有未打补丁的Windows系统 仅需一个普通域账号即可利用 可导致完全控制系统(SYSTEM权限) 二、漏洞原理深度分析 2.1 漏洞利用机制 漏洞利用的核心逻辑分为以下步骤: DNS记录注入 :攻击者向域DNS注入一条格式特殊的记录(如 srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA ),指向其控制的IP。该名称的前缀与目标主机名一致(如srv1),后缀为固定填充字符。 名称解析欺骗 :当目标机器(如SRV1)被诱骗连接此名称时(通过PetitPotam等工具触发),SMB客户端错误地将该名称解析为本机主机名(srv1),误判为"本地身份认证请求"。 令牌复制 :因误判为本地调用,SMB客户端在NTLMSSP_ NEGOTIATE消息中主动填充本机工作站名和域名(正常远程认证中该字段为空)。在本地认证模式下,客户端无需计算挑战响应,而是直接将当前进程的令牌(Token)插入服务端上下文(通过Reserved中的ID传递)。 权限提升 :触发认证的进程是lsass.exe(以SYSTEM权限运行),因此客户端插入的令牌是SYSTEM令牌。服务端获取该令牌后,直接模拟SYSTEM身份执行后续操作(如启动服务、转储SAM数据库)。 2.2 关键特征分析 特殊DNS记录中的 1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA 字符串实际上是微软定义的 CREDENTIAL_TARGET_INFORMATIONW 结构,通过 CredMarshalTargetInfo 进行Marshall处理后得到。 关键发现 : 字符串中的 1UWhR (十六进制:31 55 57 68 52)是固定不变的 其余部分可以变化,不影响漏洞利用 三、漏洞利用实践 3.1 标准利用条件 攻击者拥有一个有效的域账号 目标系统未启用SMB签名 能够向DNS注入特殊记录或控制目标系统的名称解析 3.2 复现环境 3.3 复现步骤 DNS记录注入 :在域DNS中注册特殊格式的记录,指向攻击者控制的IP 触发连接 :使用PetitPotam等工具诱骗目标机器连接该特殊名称 捕获令牌 :攻击者服务器接收并利用SYSTEM令牌 注意 : localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA 是通用格式,只需修改域名指向攻击机器即可,不需要修改域名本身。 四、高级利用技巧 4.1 绕过DNS注册限制 在禁止普通用户申请域名解析的环境中,仍有多种绕过方法: 权限提升 :窃取开发或运维权限申请域名 中间人攻击 :通过MitM进行mDNS、LLMNR和NetBIOS-NS本地域名解析欺骗 hosts文件修改 :若有管理员权限,可直接修改目标机器的hosts文件 4.2 绕过安全监控 由于 1UWhR 是固定特征,其余部分可变,攻击者可利用此特性构造变种域名,绕过基于固定字符串的安全检测。 五、防御方案 5.1 止损方案 5.1.1 禁止普通用户注册域名 打开DNS Manager 检查域名权限设置 取消"经过验证的用户"创建对象的权限 注意 :需评估对业务的影响,可能影响正常用户操作。 5.1.2 强制启用SMB签名 组策略配置 : 运行 gpedit.msc 导航至: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options 启用"Microsoft网络服务器:对通信进行数字签名(始终)" 影响评估 : 每个SMB数据包均需生成/验证哈希签名,增加CPU负载 频繁读写大文件时,传输速率可能下降10%-20% 5.1.3 安装官方补丁 微软官方补丁是最彻底的解决方案。补丁支持情况参考: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073 5.2 检测方案 5.2.1 终端检测 监控异常行为: 异常服务创建(如通过PsExec) 可疑进程链 异常权限提升行为 5.2.2 DNS监控 监控所有DNS记录(包括内网DNS、AD DNS等)中的可疑模式: 包含 1UWhR 特征的记录 异常DNS注册行为 5.2.3 AD日志分析 虽然AD默认日志特征不强,但仍可关注: 异常DNS注册记录 PetitPotam请求相关的身份验证日志 5.2.4 流量分析 监控可疑RPC流量: PetitPotam相关的 efsrpcopenfileraw PrintBug相关的 RpcRemoteFindFirstPrinterChangeNotificationEx 六、总结 CVE-2025-33073是一个危害极大的AD域漏洞,具有利用条件低、影响范围广的特点。防御需要采取多层次措施: 优先 应用官方补丁 其次 启用SMB签名 同时 加强DNS权限控制 补充 多维度监控检测 企业应建立纵深防御体系,而非孤立防御,才能有效应对此类高级威胁。