僵尸协议：像CVE-2024-43451这样的NTLM漏洞如何困扰2025年

卡巴斯基实验室的一份新报告揭示，尽管已有超过二十年的历史，NTLM身份验证协议在2025年仍然是一个关键的安全隐患。网络犯罪分子正在积极利用新发现的漏洞在全球范围内发起复杂攻击。

感觉一切都回到了2001年。那时Windows XP还是崭新的，iPod刚刚推出，网络安全世界因首个主要的NTLM中继攻击工具而震动。快进到2025年，这个遗留协议仍在困扰着企业网络。

卡巴斯基的最新研究强调了过去一年与NTLM相关的漏洞利用激增。尽管微软持续努力弃用该协议，但它仍然深深嵌入现代基础设施中，为攻击者提供了可靠的切入点。

NTLM身份验证如何工作

报告详细说明的最令人担忧的漏洞之一是CVE-2024-43451，该漏洞允许攻击者在几乎无需用户交互的情况下窃取用户的NTLMv2哈希。

该漏洞滥用了MSHTML引擎——这是Internet Explorer的一个遗留组件，为了向后兼容性，在Windows中仍然存在。攻击者可以制作恶意的**.url文件**，这些文件在被用户选中、右键点击或删除时，就会触发向攻击者控制的服务器的NTLM身份验证尝试。

报告解释说：“虽然直接打开恶意.url文件会可靠地触发漏洞利用，但漏洞也可能通过其他用户操作（如右键点击、删除、单机或仅仅是移动文件）被激活。”

报告追踪了已将此类漏洞武器化的具体威胁行为者：

BlindEagle（哥伦比亚）：这个APT组织使用伪装成司法通知的钓鱼邮件，瞄准哥伦比亚的政府实体。他们利用.url漏洞，在端口80上使用WebDAV绕过传统的SMB阻止，静默下载并执行Remcos RAT。
Head Mare（俄罗斯/白俄罗斯）：一个黑客主义团体针对俄罗斯的制造业和教育部门。他们分发包含伪装成“服务协议”的.url漏洞的恶意ZIP文件，最终导致部署PhantomCore恶意软件。
特洛伊木马分发（俄罗斯）：另一次活动利用CVE-2025-24054，通过隐藏在ZIP存档内的恶意.library-ms文件分发AveMaria（Warzone）特洛伊木马。

最具技术性的发现涉及CVE-2025-33073，一个高严重性的NTLM反射漏洞。此漏洞允许内部攻击者诱骗系统对自身进行身份验证，从而有效获得SYSTEM级别的权限。

在乌兹别克斯坦金融部门记录的一次事件中，攻击者使用精心构造的DNS主机名来绕过Windows的本地身份验证检查。这使他们能够“强制主机对自身进行身份验证并获取SYSTEM令牌”，随后他们利用此令牌转储LSASS内存并窃取凭证。

NTLM在2025年的持续存在突显了网络安全中的一个关键挑战：遗留债务。

报告总结道：“在2025年，NTLM仍然深深植根于Windows环境中，持续为网络犯罪分子提供利用其长期已知弱点的机会。”

卡巴斯基专家敦促各组织加快向Kerberos迁移，强制执行SMB签名和EPA（扩展身份验证保护），并审计其网络中的NTLM流量。正如报告所警告的：“否则，NTLM将继续成为攻击者方便且反复出现的切入点。”