背景
2025年9月,发现了一个影响运行LDAP或LDAPS服务的域控制器的关键漏洞(CVE-2025-54918)。该漏洞允许攻击者将权限从标准域用户提升至SYSTEM级别访问,可能危及整个Active Directory环境。本文分析了漏洞背景、利用技术细节、检测方法,以及组织如何使用CrowdStrike Falcon® Exposure Management和CrowdStrike Falcon® Next-Gen Identity Security进行防护。
背景知识
CVE-2025-54918的利用依赖于Active Directory环境中两种基本攻击技术的结合:NTLM中继和强制认证。
NTLM中继
NTLM中继是Active Directory环境中最常见的攻击技术之一。该攻击允许威胁行为者捕获身份验证并将其中继到另一台服务器,从而能够使用经过身份验证的用户权限在远程服务器上执行操作。
尽管NTLM中继是一种旧技术,但它仍然对企业构成重大风险,不断发现新的漏洞。已引入各种缓解措施来保护域网络免受此类攻击,最关键的是服务器签名。此缓解措施要求会话必须签名,签名密钥仅原始客户端和目标服务器知晓。
强制认证
强制认证是攻击者触发向受感染机器的远程身份验证的过程。当攻击者在受感染机器上捕获网络登录时,他们可以使用此身份验证执行:
- 密码破解
- 凭据中继(NTLM/Kerberos中继)
两个著名的认证强制攻击示例是:
- “打印机漏洞”:由SpecterOps的Lee Christensen在2018年发现,此打印后台处理程序服务中的漏洞使攻击者能够通过远程主机的计算机账户触发身份验证。
- PetitPotam:这是一种类似的强制技术,利用MS-EFSRPC协议强制Windows主机向任意目标进行身份验证。
CVE-2025-54918代表了这些攻击技术的新演变,结合了NTLM中继操纵和认证强制,以绕过强大的安全控制。
理解CVE-2025-54918
CVE-2025-54918代表了一个关键的安全漏洞,结合了强制技术和NTLM中继操纵来实现域控制器入侵。攻击者可以利用强制攻击(例如打印机漏洞利用)从域控制器启动身份验证尝试,然后修改身份验证数据包中的某些字段并中继此身份验证以获得提升的权限。
技术攻击流程
准备阶段
初始侦察和设置阶段需要最少的资源但需要仔细规划。攻击只需要一个低权限域用户账户,通常可以通过密码喷洒、凭据盗窃或社会工程攻击获得。在此阶段,攻击者进行网络侦察以识别运行LDAP或LDAPS服务的目标域控制器。
强制阶段
强制阶段通过Microsoft打印系统远程协议(MS-RPRN)接口利用有详细记录的打印机漏洞。攻击者使用此远程协议与目标域控制器的打印后台处理程序服务建立连接,该服务以SYSTEM权限运行。
认证操纵
在此关键阶段,攻击者使用其恶意侦听器基础设施拦截域控制器的身份验证尝试。然后攻击者执行NTLM身份验证数据包结构的操纵,特别针对控制身份验证过程的安全标志。
中继攻击执行
修改后的身份验证数据包随后使用LDAP/LDAPS协议作为中继目标被策略性地中继回原始域控制器。
权限提升
中继攻击成功完成后,攻击者获得对域控制器的SYSTEM级访问权限,代表系统上可能的最高权限级别。
检测策略和技术分析
检测CVE-2025-54918利用尝试需要实施多层监控策略,重点关注Active Directory环境中的异常身份验证模式。
技术指标和取证工件
我们的研究和分析已识别出几个特定的技术指标,可以可靠地检测针对此漏洞的利用尝试:
- NTLM身份验证尝试中的空用户名字段
- LOCAL_CALL标志存在
- 修改的SEAL和SIGN标志
- LDAP/LDAPS协议使用
缓解和保护策略
Falcon平台提供全面的保护能力,直接解决这些缓解策略。
Falcon Exposure Management为补丁管理计划提供关键可见性,使组织能够快速识别易受攻击的系统并根据实际风险暴露确定修复工作的优先级。
Falcon Next-Gen Identity Security提供对Active Directory环境配置的洞察,揭示可能启用NTLM中继攻击的关键安全风险。
结论
CVE-2025-54918通过可能允许攻击者从单个低权限账户入侵整个Active Directory环境,对组织构成重大威胁。
全面的Falcon平台提供多层保护:
- 通过Falcon Next-Gen SIEM进行主动检测
- 通过CrowdStrike Falcon® Adversary OverWatch™进行专家威胁狩猎
通过CrowdStrike的集成安全生态系统,组织可以检测、预防和响应CVE-2025-54918及类似威胁的利用尝试。