深入分析NTLM LDAP认证绕过漏洞(CVE-2025-54918)

本文详细分析了CVE-2025-54918漏洞的技术细节,该漏洞允许攻击者通过NTLM中继和强制认证组合技术,从普通域用户提升至SYSTEM权限,威胁整个Active Directory环境安全。

从域用户到SYSTEM:分析NTLM LDAP认证绕过漏洞(CVE-2025-54918)

2025年9月,安全研究人员发现了一个影响运行LDAP或LDAPS服务的域控制器的严重漏洞(CVE-2025-54918)。该漏洞允许攻击者将权限从标准域用户提升至SYSTEM级别,可能危及整个Active Directory环境。本文分析了该漏洞的背景、技术细节、检测方法,以及组织如何使用CrowdStrike Falcon® Exposure Management和CrowdStrike Falcon® Next-Gen Identity Security来保护自己。

背景

CVE-2025-54918的利用依赖于Active Directory环境中两种基本攻击技术的组合:NTLM中继和强制认证。

NTLM中继

NTLM中继是Active Directory环境中最常见的攻击技术之一。该攻击允许威胁行为者捕获身份验证并将其中继到另一台服务器,从而授予他们使用已认证用户权限在远程服务器上执行操作的能力。

尽管NTLM中继是一种旧技术,但它仍然对企业构成重大风险,新的漏洞不断被发现。已经引入了各种缓解措施来保护域网络免受此类攻击,最关键的是服务器签名。这种缓解措施要求会话必须签名,签名密钥仅原始客户端和目标服务器知道。由于攻击者无法获取会话密钥,他们无法在已建立的签名会话上发送请求,此类攻击将失败。

图1:NTLM中继基本流程

强制认证

强制认证是攻击者触发远程认证到受感染机器的过程。当攻击者在受感染机器上捕获网络登录时,他们可以使用此认证执行:

  • 密码破解
  • 凭据中继(NTLM/Kerberos中继)

两个著名的认证强制攻击示例是:

  • “打印机漏洞”:由SpecterOps的Lee Christensen在2018年发现,此打印后台处理程序服务中的漏洞使攻击者能够通过远程主机的计算机账户触发认证。如果远程机器是特权机器(例如域控制器),该认证可以被中继并使用计算机账户权限。这通常与针对Active Directory证书服务(AD CS)的NTLM中继攻击链式结合以进行域妥协。
  • PetitPotam:这是一种类似的强制技术,利用MS-EFSRPC协议强制Windows主机向任意目标进行认证。

CVE-2025-54918代表了这些攻击技术的新演进,将NTLM中继操作与认证强制相结合,以绕过甚至强大的安全控制,使其在现代Active Directory环境中特别危险。

理解CVE-2025-54918

CVE-2025-54918代表了一个关键的安全漏洞,它将强制技术与NTLM中继操作相结合以实现域控制器妥协。攻击者可以利用强制攻击(例如打印机漏洞利用)从域控制器发起认证尝试,然后修改认证数据包中的某些字段并中继此认证以获得提升的权限。该攻击特别令人担忧,因为它绕过了传统的安全控制,如通道绑定和LDAP签名要求,使其在具有标准强化措施的环境中仍然有效。

技术攻击流程

准备阶段

初始侦察和设置阶段需要最少的资源但需要仔细规划。攻击只需要一个低权限域用户账户,这通常可以通过密码喷洒、凭据盗窃或社会工程攻击获得。在此阶段,攻击者进行网络侦察以识别运行LDAP或LDAPS服务的目标域控制器,通常扫描端口(389或636)或使用NetExec等工具与ldap-checker模块来验证LDAP或LDAPS服务是否正在运行以及是否需要通道绑定。

然后,攻击者在他们控制的具有到目标域控制器连接性的系统上建立恶意监听器基础设施,配置它以捕获和操作传入的NTLM认证尝试。此监听器必须定位为能够拦截网络流量并能够实时修改认证数据包。

强制阶段

强制阶段通过Microsoft打印系统远程协议(MS-RPRN)接口利用有良好文档记录的打印机漏洞。攻击者使用此远程协议与目标域控制器的打印后台处理程序服务建立连接,该服务以SYSTEM权限运行。

通过向打印后台处理程序发送特制的RPC调用(RpcRemoteFindFirstPrinterChangeNotificationEx),攻击者强制域控制器启动出站认证尝试到攻击者控制的系统。此强制认证尝试携带了对于后续利用阶段至关重要的独特特征:

  • 空用户名字段,表明认证源自SYSTEM账户
  • NTLM协商中设置的LOCAL_CALL标志,表示认证请求被视为本地系统调用
  • NTLM协商中设置的SEAL和SIGN标志,表明认证会话需要消息签名和密封
  • 认证尝试使用域控制器的机器账户凭据

认证操作阶段

在此关键阶段,攻击者使用其恶意监听器基础设施拦截域控制器的认证尝试。攻击者然后执行NTLM认证数据包结构的操作,特别针对控制认证过程的安全标志。操作涉及移除特定安全标志同时保留其他标志:

  • 移除SEAL标志:这消除了消息加密要求,允许攻击者以明文处理和转发认证
  • 移除SIGN标志:这绕过了消息完整性验证,防止域控制器检测到认证已被篡改
  • 保留LOCAL_CALL标志:此关键标志必须保持完整,因为它向接收系统发出信号,表明认证应被视为本地系统调用而非远程网络认证

此操作有效地绕过了多层安全控制,包括通常阻止此类攻击的通道绑定机制和签名要求。

中继攻击执行阶段

修改后的认证数据包然后通过LDAP/LDAPS协议作为中继目标策略性地中继回原始域控制器。这创建了一个中间人场景,其中域控制器通过攻击者的基础设施不知情地对自己进行认证。域控制器由于以下几个因素将此中继认证处理为合法的本地认证:

  • 保留的LOCAL_CALL标志使认证子系统相信这是本地系统调用
  • 修改后的安全标志允许未签名的通信,绕过了正常的安全验证过程
  • 空用户名字段表明认证源自SYSTEM账户

LDAP/LDAPS协议为攻击者在认证成功后执行特权操作提供了必要的接口。

权限提升阶段

中继攻击成功完成后,攻击者实现了对域控制器的SYSTEM级别访问,代表了系统上可能的最高权限级别。此升级有效地绕过了组织通常依赖的多个传统安全控制:

  • 通道绑定:通常通过将认证加密绑定到特定网络通道来防止认证中继攻击
  • LDAP签名要求:通常确保所有LDAP通信都经过数字签名以防止篡改

实现SYSTEM级别访问后,攻击者获得了对域控制器的完全控制,使他们能够执行任何管理操作,包括创建新账户、修改组成员资格、访问敏感数据,并可能危及整个Active Directory林。

检测策略和技术分析

检测CVE-2025-54918利用尝试需要实施多层监控策略,重点关注Active Directory环境中的异常认证模式。此漏洞的复杂性要求超越传统基于签名方法的先进检测技术。

安全团队必须配置其监控基础设施以捕获和分析NTLM认证流量,特别关注涉及LDAP/LDAPS协议的通信。这种全面方法确保可以在导致成功权限提升之前通过特定技术指标识别利用尝试。

技术指标和取证工件

我们的研究和分析已经确定了几个可以可靠检测针对此漏洞的利用尝试的特定技术指标。这些指标代表了攻击方法留下的独特指纹,并提供高置信度的检测机会:

  • NTLM认证尝试中的空用户名字段:这代表了攻击最独特的指标之一,因为合法的用户认证过程通常包括填充的用户名字段。网络认证尝试中空用户名字段的存在应触发立即调查。
  • LOCAL_CALL标志存在:认证流量中LOCAL_CALL标志的检测提供了潜在利用的强指标,因为此标志通常应仅出现在真正的本地系统认证上下文中,而不是基于网络的认证场景中。
  • 修改的SEAL和SIGN标志:监控这些关键安全标志已被移除或更改的认证数据包表明潜在篡改和中继攻击活动。在应存在这些标志的上下文中它们的缺失代表了明确的安全违规。
  • LDAP/LDAPS协议使用:LDAP或LDAPS协议利用中的异常模式,特别是与其他指标相关联时,可以帮助识别利用尝试。组织应监控意外的LDAP或LDAPS连接和认证模式。

基于我们的研究结果,我们开发了一个专门的关联规则模板(CRT)签名,利用Falcon Next-Gen SIEM内的Falcon平台身份数据,可以特别帮助识别潜在的CVE-2025-54918利用尝试。我们的内部研究表明,此签名采用分析上述技术指标的关联逻辑,为组织提供工具以支持对此复杂攻击向量的自动检测能力。CRT签名专注于在特定时间范围内识别这些技术指标的组合,使安全团队能够以高置信度检测利用尝试,同时最小化误报警报。

要实现此检测能力,客户必须通过Falcon Next-Gen SIEM手动启用CRT,导航到NGS -> 监控和调查 -> 规则 -> 模板,并搜索相关CRT:“CrowdStrike - Identity - Unusual NTLM LDAP Authentication Pattern (CVE-2025-54918)”

缓解和保护策略

Falcon平台提供直接解决这些缓解策略的全面保护能力。

Falcon Exposure Management为补丁管理计划提供关键可见性,使组织能够快速识别易受攻击的系统,并根据实际风险暴露优先考虑修复工作。此能力对于有效实施第一个缓解策略至关重要,允许像CVE-2025-54918修复这样的关键补丁在企业中有系统地部署。

Falcon Next-Gen Identity Security提供对Active Directory环境配置的洞察,揭示可能启用NTLM中继攻击的关键安全风险。它持续监控和评估AD安全状况,识别错误配置,如禁用的SMB签名、不足的LDAP签名设置、缺失的LDAPS通道绑定实现以及正在运行的打印后台处理程序服务。这些洞察使安全团队能够在配置弱点被利用之前主动解决它们。

除了配置评估,Falcon Next-Gen Identity Security提供账户活动监控,包括详细的NTLM认证跟踪和行为分析。该平台提供专门的NTLM中继检测能力,可以实时识别可疑认证模式和潜在的中继攻击尝试。

结论

CVE-2025-54918通过可能允许攻击者从单个低权限账户危及整个Active Directory环境,对组织构成了重大威胁。理解和检测此攻击向量对于维护安全完整性至关重要。

全面的Falcon平台提供多层保护:

  • 通过Falcon Next-Gen SIEM进行主动检测
  • 通过CrowdStrike Falcon® Adversary OverWatch™进行专家威胁狩猎

通过CrowdStrike的集成安全生态系统,组织可以检测、预防和响应CVE-2025-54918及类似威胁的利用尝试,支持保护其Active Directory环境的努力。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次