Semperis 公司研究員 Andrea Pierini 發(fā)現(xiàn)并披露了一個新型 Windows 漏洞（CVE-2025-58726），攻擊者可利用 Kerberos 認證反射缺陷，以低權(quán)限賬戶遠程獲取 SYSTEM 級訪問權(quán)限。該漏洞影響所有 Windows 版本，除非強制啟用 SMB 簽名功能。微軟已在 2025 年 10 月的補丁星期二活動中發(fā)布修復(fù)程序。

通過機器認證實現(xiàn)高權(quán)限遠程命令執(zhí)行 | 圖片來源：Andrea Pierini

Kerberos 反射攻擊機制

Pierini 的研究表明："即使已修復(fù) CVE-2025-33073，Kerberos 認證反射仍可被濫用于遠程權(quán)限提升。"該漏洞利用"Ghost SPN"（映射到無法解析主機名的服務(wù)主體名稱），誘使 Windows 通過 SMB 向自身進行認證，從而將權(quán)限提升至 SYSTEM 級別。

利用注冊的GHOST服務(wù)器請求TGS服務(wù)票據(jù) | 圖片來源：Andrea Pierini

Pierini 解釋道："當攻擊者捕獲受害者（機器或用戶）的認證請求，并將該認證反射或重放回受害者自身服務(wù)時，就會發(fā)生認證反射。這種攻擊誘使受害者向自身進行認證，使攻擊者無需知曉憑證即可提升權(quán)限。"

Ghost SPN 的核心威脅

CVE-2025-58726 的核心在于 Ghost SPN 概念——這些服務(wù)主體名稱引用的主機名已不存在于 DNS 記錄中。在大型或老化的 Active Directory 環(huán)境中，此類"幽靈"記錄普遍存在，通常源于系統(tǒng)退役、部署腳本拼寫錯誤或混合環(huán)境中無法訪問的主機。

Pierini 指出："Ghost SPN 引入了攻擊者可利用的攻擊面。默認 Active Directory 設(shè)置允許標準用戶注冊 DNS 記錄，從而促成此類攻擊。"通過注冊指向攻擊者控制IP的DNS記錄，低權(quán)限用戶可誘使目標系統(tǒng)向攻擊者主機進行認證。

攻擊鏈實現(xiàn)條件

利用 CVE-2025-58726 的攻擊鏈需要滿足以下基本條件：

• 擁有低權(quán)限域用戶賬戶
• 目標設(shè)備已加入域且禁用 SMB 簽名
• 目標設(shè)備配置了 HOST/... 或 CIFS/... 類型的 Ghost SPN
• 具備注冊 DNS 記錄的能力（Active Directory 默認啟用）

攻擊實施流程包括：

• 識別與目標機關(guān)聯(lián)的 Ghost SPN
• 注冊將該 SPN 解析至攻擊者 IP 的 DNS 記錄
• 使用 Kerberos 中繼工具（如 Pierini 開源的 KrbRelayEx）攔截認證
• 通過 PrinterBug 或 PetitPotam 等工具觸發(fā)認證
• 將 Kerberos 票據(jù)中繼回目標的 SMB 服務(wù)
• 通過 SMB 遠程獲取 SYSTEM 級訪問權(quán)限

協(xié)議層安全缺陷

值得注意的是，該攻擊繞過了微軟此前針對 CVE-2025-33073 的補丁（該補丁修復(fù)了相關(guān) SMB 客戶端權(quán)限提升漏洞）。Pierini 強調(diào)："CVE-2025-33073 的修復(fù)僅針對特定 SMB 客戶端問題，而 Ghost SPN 攻擊方法可繞過該修復(fù)。漏洞實質(zhì)存在于 Kerberos 協(xié)議本身，其未能阻止認證反射行為。"

這表明漏洞存在于 Kerberos 協(xié)議處理機制內(nèi)部，不僅限于 SMB 服務(wù)。這意味著其他依賴 Kerberos 的服務(wù)（如 RDP、WMI 或 RPC/DCOM）在特定條件下也可能存在風險。Pierini 對微軟 2025 年 10 月補丁的逆向工程顯示，修復(fù)措施實現(xiàn)在 SRV2.SYS 驅(qū)動程序中，該驅(qū)動負責服務(wù)端 SMB 邏輯處理。