深入分析NTLM LDAP认证绕过漏洞(CVE-2025-54918):从域用户到SYSTEM权限的威胁

本文详细分析了CVE-2025-54918漏洞的技术细节,该漏洞允许攻击者通过NTLM中继和强制认证结合的方式,从普通域用户提升至SYSTEM权限,威胁整个Active Directory环境安全。

从域用户到SYSTEM:分析NTLM LDAP认证绕过漏洞(CVE-2025-54918)

2025年9月,发现了一个影响运行LDAP或LDAPS服务的域控制器的关键漏洞(CVE-2025-54918)。该漏洞允许攻击者将权限从标准域用户提升至SYSTEM级别访问,可能危及整个Active Directory环境。本文探讨了漏洞背景、利用技术细节、检测方法,以及组织如何使用通过统一CrowdStrike Falcon®平台交付的CrowdStrike Falcon® Exposure Management和CrowdStrike Falcon® Next-Gen Identity Security进行防护。

背景

CVE-2025-54918的利用依赖于Active Directory环境中两种基本攻击技术的结合:NTLM中继和强制认证。

NTLM中继

NTLM中继是Active Directory环境中最常用的攻击技术之一。该攻击允许威胁行为者捕获身份验证并将其中继到另一台服务器,使他们能够使用经过身份验证的用户权限在远程服务器上执行操作。

尽管NTLM中继是一种旧技术,但它仍然对企业构成重大风险,不断发现新的漏洞。已经引入了各种缓解措施来保护域网络免受此类攻击,最关键的是服务器签名。这种缓解措施要求会话必须签名,签名密钥仅原始客户端和目标服务器知晓。由于攻击者无法检索会话密钥,他们无法在建立的签名会话上发送请求,此类攻击将失败。

图1. NTLM中继基本流程。

强制认证

强制认证是攻击者触发远程身份验证到受感染机器的过程。当攻击者在受感染机器上捕获网络登录时,他们可以使用此身份验证执行:

  • 密码破解
  • 凭据中继(NTLM/Kerberos中继)

两个著名的认证强制攻击示例是:

  • “打印机漏洞”:由SpecterOps的Lee Christensen在2018年发现,此打印后台处理程序服务中的漏洞使攻击者能够通过远程主机的计算机帐户触发身份验证。如果远程机器是特权机器(例如域控制器),则该身份验证可以被中继,并使用计算机帐户权限。这通常与针对Active Directory证书服务(AD CS)的NTLM中继攻击链结合以进行域妥协。
  • PetitPotam:这是一种类似的强制技术,利用MS-EFSRPC协议强制Windows主机向任意目标进行身份验证。

CVE-2025-54918代表了这些攻击技术的新演进,将NTLM中继操作与认证强制相结合,以绕过甚至强大的安全控制,使其在现代Active Directory环境中特别危险。

理解CVE-2025-54918

CVE-2025-54918代表了一个关键的安全漏洞,结合了强制技术和NTLM中继操作以实现域控制器妥协。攻击者可以利用强制攻击(例如,打印机漏洞利用)从域控制器启动身份验证尝试,然后修改身份验证数据包中的某些字段并中继此身份验证以获得提升的权限。该攻击特别令人担忧,因为它绕过了传统安全控制,如通道绑定和LDAP签名要求,使其在具有标准强化措施的环境中仍然有效。

技术攻击流程

准备阶段

初始侦察和设置阶段需要最少的资源但精心的规划。攻击只需要一个低权限域用户帐户,通常可以通过密码喷洒、凭据盗窃或社会工程攻击获得。在此阶段,攻击者进行网络侦察以识别运行LDAP或LDAPS服务的目标域控制器,通常扫描端口(389或636)或使用NetExec等工具与ldap-checker模块验证LDAP或LDAPS服务是否正在运行以及是否需要通道绑定。

然后,攻击者在他们控制的具有到目标域控制器连接性的系统上建立恶意监听器基础设施,配置它以捕获和操作传入的NTLM身份验证尝试。此监听器必须定位为能够拦截网络流量并能够实时修改身份验证数据包。

强制阶段

强制阶段通过Microsoft打印系统远程协议(MS-RPRN)接口利用有良好文档记录的打印机漏洞。攻击者使用此远程协议与目标域控制器的打印后台处理程序服务建立连接,该服务以SYSTEM权限运行。

通过向打印后台处理程序发送特制的RPC调用(RpcRemoteFindFirstPrinterChangeNotificationEx),攻击者强制域控制器启动出站身份验证尝试到攻击者控制的系统。此强制身份验证尝试携带了对于后续利用阶段至关重要的独特特征:

  • 空用户名字段,表明身份验证源自SYSTEM帐户
  • NTLM协商中设置的LOCAL_CALL标志,表示身份验证请求被视为本地系统调用
  • NTLM协商中设置的SEAL和SIGN标志,表明身份验证会话需要消息签名和密封
  • 身份验证尝试使用域控制器的机器帐户凭据

身份验证操作

在此关键阶段,攻击者使用其恶意监听器基础设施拦截域控制器的身份验证尝试。然后攻击者执行NTLM身份验证数据包结构的操作,特别针对控制身份验证过程的安全标志。操作涉及移除特定安全标志同时保留其他标志:

  • 移除SEAL标志:这消除了消息加密的要求,允许攻击者以明文处理和转发身份验证
  • 移除SIGN标志:这绕过了消息完整性验证,防止域控制器检测到身份验证已被篡改
  • 保留LOCAL_CALL标志:此关键标志必须保持完整,因为它向接收系统发出信号,表明身份验证应被视为本地系统调用而非远程网络身份验证

此操作有效地绕过了多层安全控制,包括通常阻止此类攻击的通道绑定机制和签名要求。

中继攻击执行

然后,修改后的身份验证数据包被策略性地使用LDAP/LDAPS协议作为中继目标中继回原始域控制器。这创建了一个中间人场景,其中域控制器通过攻击者的基础设施不知不觉地对自己进行身份验证。域控制器将此中继的身份验证处理为合法的本地身份验证,原因有几个:

  • 保留的LOCAL_CALL标志使身份验证子系统相信这是本地系统调用
  • 修改后的安全标志允许未签名的通信,绕过了正常的安全验证过程
  • 空用户名字段表明身份验证源自SYSTEM帐户

LDAP/LDAPS协议为攻击者在身份验证成功后执行特权操作提供了必要的接口。

权限提升

中继攻击成功完成后,攻击者实现对域控制器的SYSTEM级别访问,代表了系统上可能的最高权限级别。此升级有效地绕过了组织通常依赖的多个传统安全控制进行保护:

  • 通道绑定:通常通过将身份验证加密绑定到特定网络通道来防止身份验证中继攻击
  • LDAP签名要求:通常确保所有LDAP通信都经过数字签名以防止篡改

实现SYSTEM级别访问后,攻击者获得对域控制器的完全控制,使他们能够执行任何管理操作,包括创建新帐户、修改组成员资格、访问敏感数据以及可能危及整个Active Directory林。

检测策略和技术分析

检测CVE-2025-54918利用尝试需要实施多层监控策略,重点关注Active Directory环境中的异常身份验证模式。此漏洞的复杂性要求超越传统基于签名方法的高级检测技术。

安全团队必须配置其监控基础设施以捕获和分析NTLM身份验证流量,特别关注涉及LDAP/LDAPS协议的通信。这种全面方法确保可以在导致成功权限提升之前通过特定技术指标识别利用尝试。

技术指标和取证工件

我们的研究和分析已经确定了几个可以可靠检测针对此漏洞的利用尝试的特定技术指标。这些指标代表了攻击方法留下的独特指纹,并提供高置信度检测机会:

  • NTLM身份验证尝试中的空用户名字段:这代表了攻击的最独特指标之一,因为合法的用户身份验证过程通常包括填充的用户名字段。网络身份验证尝试中存在空用户名字段应触发立即调查。
  • LOCAL_CALL标志存在:在身份验证流量中检测到LOCAL_CALL标志提供了潜在利用的强指标,因为此标志通常应仅出现在真正的本地系统身份验证上下文中,而不是基于网络的身份验证场景中。
  • 修改的SEAL和SIGN标志:监控这些关键安全标志已被移除或更改的身份验证数据包表明潜在的篡改和中继攻击活动。在它们应该存在的上下文中缺少这些标志代表了明确的安全违规。
  • LDAP/LDAPS协议使用:LDAP或LDAPS协议利用中的异常模式,特别是与其他指标相关联时,可以帮助识别利用尝试。组织应监控意外的LDAP或LDAPS连接和身份验证模式。

基于我们的研究结果,我们开发了一个专门的关联规则模板(CRT)签名,利用Falcon Next-Gen SIEM内的Falcon平台身份数据,可以特别帮助识别潜在的CVE-2025-54918利用尝试。我们的内部研究表明,此签名采用分析上述技术指标的关联逻辑,为组织提供工具以支持对此复杂攻击向量的自动检测能力。CRT签名专注于在特定时间范围内识别这些技术指标的组合,使安全团队能够以高置信度检测利用尝试,同时最小化误报警报。

要实施此检测能力,客户必须通过Falcon Next-Gen SIEM手动启用CRT,导航到NGS -> 监控和调查 -> 规则 -> 模板并搜索相关CRT:“CrowdStrike - Identity - Unusual NTLM LDAP Authentication Pattern (CVE-2025-54918)”

缓解和保护策略

Falcon平台提供了直接解决这些缓解策略的全面保护能力。

Falcon Exposure Management为补丁管理计划提供了关键可见性,使组织能够快速识别易受攻击的系统并根据实际风险暴露确定修复工作的优先级。此能力对于有效实施第一个缓解策略至关重要,允许像CVE-2025-54918修复这样的关键补丁在整个企业中系统地部署。

Falcon Next-Gen Identity Security提供了对Active Directory环境配置的洞察,揭示了可能启用NTLM中继攻击的关键安全风险。它持续监控和评估AD安全态势,识别错误配置,如禁用的SMB签名、不足的LDAP签名设置、缺失的LDAPS通道绑定实现以及正在运行的打印后台处理程序服务。这些洞察使安全团队能够在配置弱点被利用之前主动解决它们。

除了配置评估,Falcon Next-Gen Identity Security提供帐户活动监控,包括详细的NTLM身份验证跟踪和行为分析。该平台提供专门的NTLM中继检测能力,可以实时识别可疑的身份验证模式和潜在的中继攻击尝试。

结论

CVE-2025-54918通过可能允许攻击者从单个低权限帐户危及整个Active Directory环境,对组织构成了重大威胁。理解和检测此攻击向量对于维护安全完整性至关重要。

全面的Falcon平台提供了多层保护:

  • 通过Falcon Next-Gen SIEM进行主动检测
  • 通过CrowdStrike Falcon® Adversary OverWatch™进行专家威胁狩猎

通过CrowdStrike的集成安全生态系统,组织可以检测、预防和响应CVE-2025-54918及类似威胁的利用尝试,支持保护其Active Directory环境的努力。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次