CVE-2025-33073 SMB權限提升漏洞的底層修復邏輯分析

底層修復邏輯的核心是阻斷反射式Kerberos中繼攻擊的利用鏈，而非直接修改NTLM認證流程或強制SMBv3簽名（盡管后者是緩解措施）。微軟通過以下機制實現(xiàn)修復：

1、協(xié)議層改進：Kerberos本地環(huán)回保護的強化

問題根源：漏洞利用Kerberos缺乏類似NTLM的反射攻擊防護（MS08-068）。攻擊者通過技巧誘使主機向自身發(fā)起SMB連接，并中繼Kerberos票據(jù)回同一主機。系統(tǒng)錯誤地將低權限計算機賬戶票據(jù)與高權限令牌關聯(lián)，導致權限提升。

CredUnmarshalTargetInfo

SYSTEM

修復邏輯

• 令牌完整性強制驗證

在內(nèi)核層增加進程令牌與Kerberos票據(jù)的綁定驗證。當檢測到環(huán)回認證（SPN指向自身）時，拒絕復用高權限令牌，而是創(chuàng)建新會話令牌并嚴格匹配票據(jù)的原始權限級別（如計算機賬戶的有限權限）。

引用: Windows內(nèi)核新增進程令牌完整性檢查，實時阻斷令牌濫用。

• 授權數(shù)據(jù)（KERB_AD_RESTRICTION_ENTRY）增強

修復前，系統(tǒng)因SPN指向主機名而誤判為“合法環(huán)回”，并錯誤繼承令牌。補丁修改了授權數(shù)據(jù)處理邏輯，要求票據(jù)中的結構必須明確匹配進程的原始安全上下文，否則拒絕會話建立。

SYSTEM

KERB_LOCAL

2、SMBv3簽名強制的策略調(diào)整（緩解→默認啟用）

問題關聯(lián)性：漏洞依賴未簽名的SMB連接實現(xiàn)中繼攻擊。

修復邏輯

• 服務器端簽名策略升級

在補丁中，微軟未修改協(xié)議層簽名算法，但通過組策略和注冊表默認值調(diào)整，強制要求所有域內(nèi)主機的傳入SMB連接必須簽名

• 組策略：默認設為“啟用”。
• Microsoft網(wǎng)絡服務器: 始終數(shù)字簽名通信
• 注冊表鍵：
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=1

引用: 強制執(zhí)行服務器端SMB簽名可阻斷中繼攻擊向量。

• 客戶端兼容性處理

為避免影響舊客戶端，補丁引入例外機制：若客戶端不支持SMB簽名（如老舊設備），需顯式配置允許非簽名訪問。

3、NTLM認證流程未修改的原因

關鍵結論修復未修改NTLM流程，原因如下：

• 漏洞本質(zhì)是Kerberos的反射攻擊缺陷，與NTLM無關。NTLM早已通過MS08-068修補反射攻擊。
• 攻擊鏈中NTLM僅作為備用認證機制：當Kerberos失敗時可能回退至NTLM，但漏洞利用不依賴此流程。
• 微軟長期策略是淘汰NTLM，故優(yōu)先加固Kerberos而非修改舊協(xié)議。

4、防御縱深的補充措施

• 安全協(xié)商強化（SMB3.1.1+）

補丁要求啟用，通過簽名IOCTL（）驗證原始協(xié)商參數(shù)，防止中間人降級攻擊。

RequireSecureNegotiate

FSCTL_VALIDATE_NEGOTIATE_INFO

• 服務主體名稱（SPN）驗證

增加對異常SPN注冊的檢測（如攻擊者偽造指向自身的SPN），阻止惡意票據(jù)生成。

修復方案的技術意義

根本矛盾解決：修復針對Kerberos在環(huán)回場景的令牌管理缺陷（而非協(xié)議設計漏洞），通過內(nèi)核層令牌綁定和策略強制消除權限錯位。

總結

CVE-2025-33073的修復邏輯是多層次防御

1. 協(xié)議層：強化Kerberos本地環(huán)回的令牌驗證邏輯，消除權限繼承漏洞；
2. 配置層：默認啟用服務器端SMB簽名，阻斷中繼攻擊傳遞；
3. 架構層：依賴安全協(xié)商和SPN校驗增加攻擊成本。

NTLM未修改因其非漏洞根源，且微軟聚焦Kerberos加固以推動NTLM淘汰。管理員應優(yōu)先安裝補丁并啟用SMB簽名，而非僅依賴協(xié)議調(diào)整。