sentinel-aidefense/CVE-2025-33073
GitHub: sentinel-aidefense/CVE-2025-33073
该仓库是一份针对 Windows SMB 客户端 NTLM 反射提权漏洞 CVE-2025-33073 的详细技术研究报告,涵盖根因分析、攻击链拆解、检测指南与缓解措施。
Stars: 0 | Forks: 0
# CVE-2025-33073 — Windows SMB Client NTLM Reflection EoP
[](https://www.cve.org/CVERecord?id=CVE-2025-33073)
[](https://nvd.nist.gov/vuln/detail/CVE-2025-33073)
[](https://cwe.mitre.org/data/definitions/284.html)
[](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
[](#)
Windows SMB Client 中一个不当的访问控制缺陷,复活了之前被认为已被缓解的
NTLM reflection 技术——这让攻击者能够强制主机将高权限的认证
上下文反射回自身,从而提权至 `NT AUTHORITY\SYSTEM`。
📄 完整分析:https://sentinelaidefense.com/posts/cve-2025-33073-smb-reflection.html
## 概述
CVE-2025-33073 是 Windows SMB Client 中的一个不当访问控制漏洞 (CWE-284)。
它允许经过认证的攻击者通过滥用客户端在处理强制认证和目标名称验证时的缺陷
(特别是与 marshaled DNS 记录和 NTLM reflection 相关的缺陷),通过网络将权限提升至
`NT AUTHORITY\SYSTEM`。
该问题有效地复活了某些此前被认为已被缓解的 NTLM reflection 技术。
它在 **2025年6月** 的安全更新中由 Microsoft 进行了修补,随后由于确认存在主动利用,
被添加到了 CISA KEV 目录中。
## 受影响版本
影响多个 Windows 客户端和服务器版本,包括:
- Windows 10
- Windows 11 (最高至 24H2)
- Windows Server 2016–2025 (多个版本)
该漏洞要求目标设备加入域,或者处于客户端未强制执行 SMB signing 的环境中。
补丁可通过 2025年6月 的 Patch Tuesday 获取。
## 技术分析 (根本原因)
根本原因在于 SMB client (`mrxsmb.sys`) 在处理强制 SMB 连接期间的认证上下文
初始化和目标名称验证时的机制。
当攻击者强制受害者机器(例如,通过 UNC 路径、LLMNR/NBNS poisoning,或使用
PetitPotam 等工具)连接到恶意 SMB 服务器时,客户端会执行 NTLM/Kerberos 认证。
由于对 DNS 记录中 marshaled 目标信息的验证不当,客户端可能被
欺骗,将远程连接视为本地连接。这导致将认证上下文
(包括来自以 SYSTEM 权限运行的 `lsass.exe` 的高权限 token)反射回本地
系统。
当未强制执行 SMB signing 时,该缺陷绕过了之前的 NTLM reflection 缓解措施。研究人员
指出,在许多实际场景中,它能实现以 SYSTEM 权限进行经过认证的远程代码执行。
## 攻击链
1. 攻击者强制受害者主机(通常是 `lsass.exe` 或其他高权限进程)发起
指向受攻击者控制的基础设施的 SMB 连接(例如,通过恶意链接、WebDAV 或
名称解析中毒)。
2. 恶意 SMB 服务器操纵认证流程和目标名称。
3. Windows SMB client 以一种允许进行
本地 impersonation 的方式反射认证(NTLM 或 Kerberos 票据)。
4. 攻击者在目标上获得 SYSTEM 级别的权限,从而实现凭证转储、
横向移动或进一步的入侵。
利用过程通常结合现有的强制和 relay 工具。公开的 PoC 出现在
补丁发布之后,随后在 2025 年晚些时候确认了主动利用。
## 检测指南
- 监控指向外部或可疑
主机的异常 SMB client 连接(特别是被强制的连接)。
- 寻找异常的 NTLM 认证尝试、reflection 模式,或在 DNS/SMB 流量中使用 marshaled 目标
信息的行为。
- 检测意外发起出站 SMB 连接的进程(例如,`lsass`)。
- 针对在 SMB 活动之后出现的权限提升指标进行端点检测。
- 针对已知强制技术(类似 PetitPotam)并结合缺少签名的 SMBv1/v2/v3 流量
的网络签名。
强制执行 SMB signing 会显著提高利用的门槛。
## 攻陷指标
- 触发 SMB 连接的恶意 UNC 路径或链接。
- DNS 记录中包含用于 reflection 攻击的特定 marshaled 目标信息。
- 与强制工具(例如,PetitPotam 变体)相关的命令行或脚本。
- 后渗透指标:SAM 配置单元转储、在 SMB
活动后不久创建的 SYSTEM 级别进程。
请查阅 Microsoft 公告和 CISA KEV 以获取更新的哈希值和网络指标。
## 缓解措施
- 立即应用 **2025年6月** 的 Windows 安全更新。
- 在整个环境中的客户端和服务器端**强制执行 SMB signing**
(组策略:*"Microsoft network client/server: Digitally sign communications (always)"*)。
- 禁用或限制不必要的名称解析协议(LLMNR、NBT-NS),并实施
诸如 WPAD 防护等缓解措施。
- 限制高权限进程暴露于强制认证中。
- 使用网络分段并监控 SMB 流量异常。
- 在适用的情况下,考虑使用应用程序控制和 Credential Guard 功能。
此漏洞突显了在缺乏严格 SMB signing 策略的环境中所面临的持续风险。
## 参考
- Microsoft MSRC 关于 CVE-2025-33073 的公告
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-33073
- CISA 已知被利用漏洞目录
## 免责声明
本仓库发布仅供**防御和教育目的**。其中包含分析、
检测逻辑和缓解指南。不提供任何功能性的漏洞利用代码。仅将此
信息用于您被授权测试和防御的系统。
由 Sentinel AI Defense 维护 ·
研究结果基于协调披露原则负责任地共享。
标签:HTTP, NTLM, SMB, XXE攻击, 协议分析, 数据展示, 权限提升, 漏洞分析, 红队, 路径探测, 错误配置检测