Μια κρίσιμη ευπάθεια στον έλεγχο ταυτότητας πελάτη SMB των Windows που επιτρέπει στους εισβολείς να παραβιάζουν περιβάλλοντα Active Directory μέσω εκμετάλλευσης ανάκλασης NTLM.
Ταξινομημένη ως ακατάλληλη ευπάθεια ελέγχου πρόσβασης, αυτή η ευπάθεια επιτρέπει στους εξουσιοδοτημένους εισβολείς να κλιμακώνουν τα προνόμια μέσω προσεκτικά ενορχηστρωμένων επιθέσεων αναμετάδοσης ελέγχου ταυτότητας μέσω συνδέσεων δικτύου.
Επτά μήνες μετά την κυκλοφορία της ενημερωμένης έκδοσης κώδικα ασφαλείας τον Ιούνιο του 2025, η έρευνα αποκαλύπτει ευρεία μη υιοθέτηση σε όλες τις εταιρικές υποδομές.
Οι ευάλωτοι κεντρικοί υπολογιστές εντοπίζονται σχεδόν σε κάθε εμπλοκή δοκιμής διείσδυσης σε ελεγκτές τομέα, διακομιστές μηδενικής βαθμίδας και σταθμούς εργασίας. Η ευπάθεια εκμεταλλεύεται έναν θεμελιώδη μηχανισμό στον τοπικό έλεγχο ταυτότητας των Windows NTLM.
.webp.jpeg "Η ευπάθεια πελάτη SMB των Windows επιτρέπει στον εισβολέα να κατέχει την υπηρεσία καταλόγου Active Directory")
Όταν ένας πελάτης λαμβάνει ένα μήνυμα NTLM_CHALLENGE που έχει επισημανθεί για τοπικό έλεγχο ταυτότητας, το σύστημα δημιουργεί ένα αντικείμενο περιβάλλοντος και εισάγει ένα αναγνωριστικό περιβάλλοντος στο πεδίο Δεσμευμένο.
Αυτός ο μηχανισμός, σε συνδυασμό με τεχνικές εξαναγκασμού όπως οι PetitPotam, DFSCoerce και Printerbug, αναγκάζει το lsass.exe (που εκτελείται ως SYSTEM) να πραγματοποιεί έλεγχο ταυτότητας σε διακομιστές που ελέγχονται από τους εισβολείς.
| Αποψη | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-33073 |
| Τύπος ευπάθειας | NTLM Reflection / Privilege Escalation |
| Διάνυσμα επίθεσης | Δίκτυο (Καταναγκασμός + Ρελέ ελέγχου ταυτότητας) |
| Έκδοση Patch | Ενημερώσεις των Windows Ιουνίου 2025 |
| Πρωτεύουσα επίδραση | Ολοκληρώστε τον συμβιβασμό της υπηρεσίας καταλόγου Active Directory |
| Τρέχουσα κατάσταση | Ευρέως χωρίς επιδιόρθωση σε εταιρικά περιβάλλοντα |
Στη συνέχεια, ο διακομιστής μιμείται το διακριτικό SYSTEM για επακόλουθες λειτουργίες, παραχωρώντας ουσιαστικά πλήρη συμβιβασμό του συστήματος.
Απαιτήσεις επίθεσης και Διαδρομές Εκμετάλλευσης
Η εκμετάλλευση απαιτεί είτε την καταχώριση μιας κακόβουλης εγγραφής DNS στο AD DNS (επιτρέπεται για Επαληθευμένους χρήστες από προεπιλογή) είτε την εκτέλεση δηλητηρίασης DNS εντός του τοπικού δικτύου.
.webp.jpeg "Η ευπάθεια πελάτη SMB των Windows επιτρέπει στον εισβολέα να κατέχει την υπηρεσία καταλόγου Active Directory")
Αυτές οι απαιτήσεις χαμηλών προνομίων αυξάνουν θεμελιωδώς την επιφάνεια επίθεσης, καθώς οι περισσότεροι οργανισμοί δεν έχουν περιορίσει τους Επαληθευμένους χρήστες από τη δημιουργία αυθαίρετων εγγραφών DNS σε ζώνες AD DNS.
Τα παραδοσιακά μέτρα μετριασμού αποδεικνύονται ανεπαρκή έναντι των προηγμένων φορέων εκμετάλλευσης.
Ενώ η υπογραφή SMB συνήθως αποτρέπει τις επιθέσεις αναμετάδοσης, η έρευνα καταδεικνύει επιτυχημένες αναμεταδόσεις μεταξύ πρωτοκόλλων από SMB σε LDAPS με επιβολή υπογραφής και σύνδεσης καναλιού.
Αυτή η παράκαμψη περιλαμβάνει την απογύμνωση συγκεκριμένων σημαιών NTLMSSP (Διαπραγμάτευση πάντα υπογραφή, διαπραγμάτευση σφραγίδας, διαπραγμάτευση υπογραφής) διατηρώντας παράλληλα τον Κώδικα Ακεραιότητας Μηνύματος. Αυτή η τεχνική επιτρέπει στους εισβολείς να παρακάμπτουν πολλαπλούς ελέγχους ασφαλείας ταυτόχρονα.
Διευρυμένη επιφάνεια επίθεσης πέρα από την υπογραφή SMB
Η ευπάθεια εκτείνεται πέρα από τα συμβατικά ρελέ SMB-to-SMB. Οι ερευνητές του DepthSecurity επιβεβαίωσαν επιτυχημένες επιθέσεις κατά των υπηρεσιών εγγραφής ADCS, των βάσεων δεδομένων MSSQL και του WinRMS μέσω τεχνικών αναμετάδοσης πολλαπλών πρωτοκόλλων.
Ακόμη πιο ανησυχητικό, οι επιθέσεις ανάκλασης SMB-to-LDAPS επιτρέπουν στους εισβολείς να χειρίζονται απευθείας αντικείμενα της υπηρεσίας καταλόγου Active Directory με προνόμια SYSTEM.
Ενεργοποίηση τροποποίησης μελών ομάδας και συλλογής διαπιστευτηρίων μέσω λειτουργιών DCSync.
Οι προσπάθειες αναμετάδοσης που βασίζονται σε RPC αποκάλυψαν απαιτήσεις κρυπτογράφησης κλειδιού συνεδρίας παρόμοιες με αυτές της υπογραφής SMB, αποδεικνύοντας ότι οι θεμελιώδεις μηχανισμοί ελέγχου ταυτότητας των Windows ενισχύουν τον αντίκτυπο της ευπάθειας.
.webp.jpeg "Η ευπάθεια πελάτη SMB των Windows επιτρέπει στον εισβολέα να κατέχει την υπηρεσία καταλόγου Active Directory")
Οι εισβολείς επαληθεύουν με επιτυχία τις υπηρεσίες RPC, αλλά αντιμετωπίζουν ελέγχους πρόσβασης σε επόμενες λειτουργίες, υποδεικνύοντας πιθανούς τρόπους εκμετάλλευσης μέσω του ελέγχου ταυτότητας Net-NTLMv1.
Σύμφωνα με DepthSecurity, οι οργανισμοί πρέπει να εφαρμόσουν αμέσως τις ενημερώσεις ασφαλείας των Windows του Ιουνίου 2025 ως τον κύριο μετριασμό. Επιπλέον, ενεργοποιήστε την υπογραφή και την επιβολή δέσμευσης καναλιού σε όλα τα πρωτόκολλα, χωρίς να περιορίζονται σε SMB.
.webp.jpeg "Η ευπάθεια πελάτη SMB των Windows επιτρέπει στον εισβολέα να κατέχει την υπηρεσία καταλόγου Active Directory")
Η επαναδιαμόρφωση λιστών ελέγχου πρόσβασης ζωνών DNS της Active Directory για τον περιορισμό της δημιουργίας εγγραφών DNS από Εξουσιοδοτημένους χρήστες μειώνει σημαντικά τη σκοπιμότητα της εκμετάλλευσης.
Οι ομάδες ασφαλείας πρέπει να δώσουν προτεραιότητα στην ταχεία επιδιόρθωση των τεχνικών εξαναγκασμού NTLM και να πραγματοποιήσουν διεξοδικούς ελέγχους των μεθόδων επίθεσης αναμετάδοσης NTLM σε όλη την υποδομή τους.
