旧技术，新漏洞：2025年持续存在的NTLM协议滥用

恍如2000年代

翻盖手机流行，Windows XP在个人电脑上首次亮相，苹果推出了iPod，通过Torrent的点对点文件共享开始兴起，MSN Messenger主导了在线聊天。这是2001年的技术场景，同年， Cult of the Dead Cow的Sir Dystic发布了SMBRelay，这是一个概念验证工具，它将NTLM中继攻击从理论带入了实践，展示了一类强大的新型认证中继漏洞利用。

自2001年以来，NTLM认证协议的弱点已被清楚地暴露出来。在随后的几年里，新的漏洞和日益复杂的攻击方法继续塑造着安全格局。微软接受了挑战，引入了缓解措施，并逐步开发了NTLM的继任者——Kerberos。然而，二十多年后，NTLM仍然内置于现代操作系统中，残留在企业网络、遗留应用程序和仍然依赖其过时认证机制的内部基础设施中。

尽管微软已宣布打算淘汰NTLM，但该协议仍然存在，为持续利用长期存在和新发现的漏洞的攻击者敞开了大门。

在这篇博客文章中，我们将更深入地审视过去一年中发现的越来越多与NTLM相关的漏洞，以及在全球不同地区积极利用这些漏洞的网络犯罪活动。

NTLM认证工作原理

NTLM（新技术局域网管理器）是微软提供的一套安全协议套件，旨在为用户提供身份验证、完整性和机密性。

在认证方面，NTLM是一种基于质询-响应的协议，用于在Windows环境中认证客户端和服务器。此类协议依赖于共享密钥（通常是客户端密码）来验证身份。NTLM集成到多个需要用户认证的应用协议中，包括HTTP、MSSQL、SMB和SMTP。它采用客户端和服务器之间的三方握手来完成认证过程。在某些情况下，会添加第四条消息以确保数据完整性。

完整的认证过程如下所示：

1. 客户端发送NEGOTIATE_MESSAGE以通告其能力。
2. 服务器响应CHALLENGE_MESSAGE以验证客户端身份。
3. 客户端使用其密钥加密质询，并使用AUTHENTICATE_MESSAGE进行响应，该消息包含加密的质询、用户名、主机名和域名。
4. 服务器使用客户端的密码哈希验证加密的质询并确认其身份。随后客户端通过认证，并与服务器建立有效会话。根据应用层协议，服务器可能会发送认证确认（或失败）消息。

重要的是，在此过程中，客户端的密钥从未通过网络传输。

NTLM已死？NTLM长存！

尽管NTLM是一个具有完善文档记录的弱点遗留协议，但它仍在Windows系统中继续使用，因此在现代威胁活动中被积极利用。微软已宣布计划逐步完全淘汰NTLM认证，其弃用将从Windows 11 24H2和Windows Server 2025（1, 2, 3）开始，届时NTLMv1将被完全移除，并且在某些场景中默认禁用NTLMv2。尽管自2022年以来至少有三次重大公开通知，并且增加了文档和迁移指导，但该协议仍然存在，这通常是由于兼容性需求、遗留应用程序或混合基础设施中的配置错误所致。

正如最近的披露所示，攻击者继续寻找创造性的方法来利用NTLM进行中继和欺骗攻击，包括新的漏洞。此外，他们还引入了协议固有的替代攻击向量，这将在下文中进一步探讨，特别是在NTLM认证尝试后通过WebDAV进行自动下载和恶意软件执行的背景下。

NTLM认证中的持久性威胁

NTLM带来了广泛的威胁面，其固有的设计限制导致了多种攻击向量。这些包括凭证转发、强制认证攻击、哈希截获和各种中间人技术，所有这些都利用了该协议缺乏现代安全措施（如通道绑定和相互认证）的弱点。在审视当前的漏洞利用活动之前，有必要先回顾一下涉及的主要攻击技术。

哈希泄漏

哈希泄漏是指NTLM认证哈希的非预期暴露，通常由精心构造的文件、恶意网络路径或网络钓鱼技术引起。这是一种被动技术，不需要攻击者在目标系统上进行任何操作。涉及此攻击向量的常见场景始于包含（或链接到）旨在利用Windows原生行为的文件的网络钓鱼尝试。这些行为会自动向攻击者控制的资源发起NTLM认证。泄漏通常通过最小的用户交互发生，例如预览文件、点击远程链接或访问共享网络资源。一旦攻击者获得哈希，他们就可以在凭证转发攻击中重用它们。

强制认证攻击

在强制认证攻击中，攻击者主动迫使目标系统向攻击者控制的服务进行认证。这种攻击不需要用户交互。例如，PetitPotam或PrinterBug等工具通常用于通过MS-EFSRPC或MS-RPRN等协议触发认证尝试。一旦受害者系统开始NTLM握手，攻击者就可以截获认证哈希或将其中继到另一个目标，从而有效地在另一个系统上冒充受害者。后一种情况尤其具有影响力，允许立即访问文件共享、远程管理界面，甚至Active Directory证书服务，攻击者可以在其中请求有效的认证证书。

凭证转发

凭证转发是指未经授权重用先前捕获的NTLM认证令牌（通常是哈希）以在其他系统或服务上冒充用户。在NTLM认证仍启用的环境中，攻击者可以利用先前获得的凭证（通过哈希泄漏或强制认证攻击）而无需破解密码。这通常通过哈希传递（PtH）或令牌冒充技术执行。在仍使用NTLM的网络中，特别是与配置错误的单点登录（SSO）或域间信任关系结合使用时，凭证转发可以在多个系统之间提供广泛的访问权限。

该技术通常用于促进横向移动和权限提升，尤其是在高权限凭证暴露时。Mimikatz等工具允许直接在内存中提取和注入NTLM哈希，而Impacket的wmiexec.py、PsExec.py和secretsdump.py可用于使用转发的哈希执行远程执行或凭证提取。

中间人攻击

位于客户端和服务器之间的攻击者可以截获、中继或操纵认证流量，以捕获NTLM哈希或在会话协商期间注入恶意负载。在缺少数字签名或通道绑定令牌等保护措施的环境中，这些攻击不仅是可能的，而且通常易于执行。

在中间人攻击中，NTLM中继是最持久且影响最大的方法，以至于它在超过二十年的时间里一直保持其相关性。最初由Sir Dystic（Cult of the Dead Cow成员）于2001年通过SMBRelay工具演示，NTLM中继继续被积极用于在实际场景中攻陷Active Directory环境。常用的工具包括Responder、Impacket的NTLMRelayX和Inveigh。当NTLM中继发生在获取哈希的同一台机器内时，它也被称为NTLM反射攻击。

2025年的NTLM漏洞利用

过去一年中，在Windows环境中发现了多个漏洞，其中NTLM被隐式启用。本节重点介绍全年报告的最相关的CVE，以及在真实世界活动中观察到的关键攻击向量。

CVE-2024‑43451

CVE-2024‑43451是Microsoft Windows中的一个漏洞，能够在很少或无需用户交互的情况下泄漏NTLMv2密码哈希，可能导致凭证泄露。

该漏洞的存在得益于MSHTML引擎的持续存在，这是一个最初为Internet Explorer开发的遗留组件。尽管Internet Explorer已被正式弃用，但MSHTML仍然嵌入在现代Windows系统中以保持向后兼容性，特别是对于那些仍然依赖其渲染或链接处理能力的应用程序和界面。这种依赖性允许.url文件通过精心构造的链接，在文件本身未打开的情况下，静默调用NTLM认证过程。虽然直接打开恶意的.url文件会可靠地触发漏洞利用，但该漏洞也可能通过其他用户操作激活，例如右键单击、删除、单击或仅仅将文件移动到其他文件夹。

攻击者可以通过向受其控制的远程服务器（以UNC路径格式指定URL）发起SMB上的NTLM认证来利用此缺陷，从而捕获用户的哈希。通过获得NTLMv2哈希，攻击者可以执行哈希传递攻击（例如使用WMIExec或PSExec等工具），通过冒充有效用户获得网络访问权限，而无需知道用户的实际凭证。

此漏洞的一个特例发生在攻击者使用WebDAV服务器时，WebDAV是一组HTTP协议的扩展，支持在Web服务器上托管的文件进行协作。在这种情况下，与恶意文件的最小交互（例如单击或右键单击）会触发与服务器的自动连接、文件下载和执行。攻击者利用此缺陷向目标系统传递恶意软件或其他负载。他们也可能将此与哈希泄漏结合，例如，通过在受害者系统上安装恶意工具，并利用捕获的哈希通过该工具进行横向移动。

微软在其2024年11月的安全更新中修复了该漏洞。在已修复的环境中，移动、删除、右键单击构造的.url文件等操作不会触发与恶意服务器的连接。但是，当用户打开漏洞利用文件时，它仍然有效。

披露之后，利用该漏洞的攻击数量呈指数级增长。到今年7月，我们已经检测到大约600个可疑的.url文件，这些文件包含了漏洞利用所需的特征，可能构成潜在威胁。

BlindEagle通过CVE-2024-43451分发Remcos RAT的活動

BlindEagle是一个针对拉丁美洲实体的APT威胁行为者，以其结合间谍活动和金融攻击的多变活动而闻名。2024年11月下旬，该组织开始针对哥伦比亚实体的新攻击，利用Windows漏洞CVE-2024-43451分发Remcos RAT。BlindEagle创建了.url文件作为一种新型初始投放器。这些文件通过冒充哥伦比亚政府和司法实体的钓鱼邮件传递，并使用所谓的法律问题作为诱饵。一旦收件人被说服下载恶意文件，只需与其交互就会触发对攻击者控制的WebDAV服务器的请求，从该服务器下载并执行了Remcos RAT的修改版本。该版本包含一个专门窃取加密货币钱包凭证的模块。

攻击者通过在UNC路径中指定端口80来自动执行恶意软件。这允许直接使用WebDAV协议通过HTTP进行连接，从而绕过SMB连接。此类连接也会泄漏NTLM哈希。但是，我们没有看到这些哈希的后续使用。

在此次活动之后以及整个2025年，该组织持续使用相同的初始攻击向量（.url文件）发起多次攻击，并继续分发Remcos RAT。

我们检测到超过60个在BlindEagle活动中用作初始投放器的.url文件。这些文件通过冒充哥伦比亚司法当局的电子邮件发送。它们都通过WebDAV与受该组织控制的服务器通信，并启动了使用ShadowLadder或Smoke Loader最终在内存中加载Remcos RAT的攻击链。

Head Mare针对俄罗斯目标滥用CVE-2024-43451的活动

微软披露后检测到的另一次攻击涉及黑客组织Head Mare。该组织因对俄罗斯和白俄罗斯目标发起攻击而闻名。

在过去的活动中，Head Mare利用各种漏洞作为获取受害者基础设施初始访问权限的技术手段。这次，他们使用了CVE-2024-43451。该组织通过网络钓鱼邮件分发了一个名为“Договор на предоставление услуг №2024-34291”（“服务协议第2024-34291号”）的ZIP文件。其中包含一个名为“Сопроводительное письмо.docx”（意为“附件.docx”）的.url文件。

该.url文件连接到该组织控制下的远程SMB服务器，域名为：

1

document-file[.]ru/files/documents/zakupki/MicrosoftWord.exe

该域名解析到属于ASN 212165的IP地址45.87.246.40，该地址曾被该组织在我们团队先前报告的活动中使用。

根据我们的遥测数据，该ZIP文件分发给了一百多名用户，其中50%属于制造业，35%属于教育和科学，5%属于政府实体，以及其他行业。部分目标与.url文件进行了交互。

为了在被攻击公司实现其目标，Head Mare使用了多种公开可用的工具，包括开源软件，以进行横向移动和权限提升，转发泄漏的哈希。在先前攻击中检测到的这些工具包括Mimikatz、Secretsdump、WMIExec和SMBExec，其中后三个属于Impacket套件工具。

在此次活动中，我们检测到了利用WinRAR中CVE-2023-38831漏洞的尝试，该漏洞曾在我们先前报告的活动中用作初始访问手段，并且在另外两次活动中，我们发现了使用与Impacket和SMBMap相关工具的尝试。

此次攻击除了收集NTLM哈希外，还涉及分发PhantomCore恶意软件，该软件是该组织武器库的一部分。

CVE-2025-24054/CVE-2025-24071

CVE-2025-24071和CVE-2025-24054最初注册为两个不同的漏洞，但后来合并到第二个CVE下，这是一个影响多个Windows版本（包括Windows 11和Windows Server）的NTLM哈希泄漏漏洞。该漏洞主要通过特殊构造的文件（例如.library-ms文件）进行利用，这些文件会导致系统向攻击者控制的服务器发起NTLM认证请求。

这种利用方式与CVE-2024-43451类似，并且几乎不需要用户交互（例如预览文件），使攻击者能够捕获NTLMv2哈希，并在网络中获得未经授权的访问或提升权限。此漏洞最常见和最广泛的利用是发生在ZIP/RAR压缩包内的.library-ms文件上，因为诱使用户打开或预览它们很容易。在我们观察到的大多数事件中，攻击者使用ZIP压缩包作为分发载体。

通过CVE-2025-24054在俄罗斯分发木马

在俄罗斯，我们识别出一项分发恶意ZIP压缩包的活动，其主题行为“акт_выполненных_работ_апрель”（4月份完成工作证明）。这些文件在压缩包内伪装成.xls电子表格，但实际上是不带.library-ms文件，这些文件会自动连接到攻击者控制的服务器。恶意文件包含相同的嵌入式服务器IP地址185.227.82.72。

当漏洞被利用时，文件会自动连接到该服务器，该服务器也托管用于分发的AveMaria木马（也称为Warzone）版本。AveMaria是一个远程访问木马（RAT），它使攻击者能够远程执行命令、窃取文件、执行键盘记录并保持持久性。

CVE-2025-33073

CVE-2025-33073是Windows SMB客户端访问控制中的一个高危NTLM反射漏洞。网络内经过认证的攻击者可以操纵SMB认证（特别是通过本地中继），诱使受害者的系统以SYSTEM身份向自身进行认证。这使得攻击者能够提升权限并以最高级别执行代码。

该漏洞依赖于Windows判断连接是本地还是远程的方式存在缺陷。通过构造一个与机器自身名称部分重叠的特定DNS主机名，攻击者可以欺骗系统相信认证请求源自同一主机。当这种情况发生时，Windows会切换到“本地认证”模式，该模式绕过正常的NTLM质询-响应交换，并将用户令牌直接注入主机的安全子系统。如果攻击者已诱使受害者连接到构造的主机名，则提供的令牌实质上是机器的自身令牌，从而授予攻击者在主机本身的特权访问权限。

这种行为之所以出现，是因为NTLM协议在假定客户端和服务器是同一实体时会设置一个特殊标志和上下文ID。攻击者的操纵导致操作系统将外部请求视为内部请求，因此注入的令牌被当作受信任的令牌处理。这种自我反射为攻击者在目标机器上以SYSTEM级别权限操作打开了大门。

涉及CVE-2025-33073的乌兹别克斯坦可疑活动

我们检测到在乌兹别克斯坦金融领域的一个目标上利用该漏洞的可疑活动。

我们获得了与此活动相关的流量转储，并在该转储中识别出多个与SMB上的NTLM认证相关的字符串片段。该转储包含显示SMB方言、NTLMSSP消息、主机名和域的认证协商。具体指标包括：

• 主机名 localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA，一个用于欺骗Windows将认证视为本地认证的被操纵主机名。
• 存在IPC$资源共享，这在NTLM中继/反射攻击中很常见，因为它允许攻击者启动认证，然后利用该已认证的会话执行操作。

该事件始于NTLM反射漏洞的利用。攻击者使用精心构造的DNS记录迫使主机对自身进行认证并获得SYSTEM令牌。之后，攻击者检查他们是否拥有足够的权限来使用批处理文件执行代码，这些批处理文件运行简单的命令，如whoami：

1

%COMSPEC% /Q /c echo whoami ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

然后通过注册表创建一个可疑的服务条目来建立持久性：

1

reg:\\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\YlHXQbXO

凭借SYSTEM权限，攻击者尝试了多种方法来转储LSASS（本地安全机构子系统服务）内存：

• 使用 rundll32.exe：

  1	C:\Windows\system32\cmd.exe /Q /c CMD.exe /Q /c for /f "tokens=1,2 delims= " ^%A in ('"tasklist /fi "Imagename eq lsass.exe" | find "lsass""') do rundll32.exe C:\windows\System32\comsvcs.dll, #+0000^24 ^%B \Windows\Temp\vdpk2Y.sav full

  该命令定位存储内存中凭证的lsass.exe进程，提取其PID，并调用comsvcs.dll的内部函数来转储LSASS内存并保存。此技术通常用于后期利用（例如Mimikatz或其他“离地攻击”工具）。
• 加载临时DLL (BDjnNmiX.dll)：

  1	C:\Windows\system32\cmd.exe /Q /c cMd.exE /Q /c for /f "tokens=1,2 delims= " ^%A in ('"tAsKLISt /fi "Imagename eq lSAss.ex*" | find "lsass""') do rundll32.exe C:\Windows\Temp\BDjnNmiX.dll #+0000^24 ^%B \Windows\Temp\sFp3bL291.tar.log full

  该命令尝试再次转储LSASS内存，但这次使用了自定义DLL。
• 运行PowerShell脚本（Base64编码）： 该脚本通过反射利用MiniDumpWriteDump。它使用Out-Minidump函数将包含所有进程内存的进程转储写入磁盘，类似于运行procdump.exe。

几分钟后，攻击者尝试通过写入另一台主机的管理共享进行横向移动，但尝试失败。我们没有看到任何进一步活动的证据。

防护与建议

禁用/限制NTLM

只要NTLM保持启用状态，攻击者就可以利用遗留认证方法中的漏洞。禁用NTLM，或至少将其使用限制在特定的关键系统上，可以显著减少攻击面。此更改应结合严格的审计，以识别任何仍然依赖NTLM的系统或应用程序，有助于确保安全无缝的过渡。

实施消息签名

NTLM作为SMB、LDAP和HTTP等应用协议之上的认证层工作。其中许多协议提供了为其通信添加签名的能力。缓解NTLM中继攻击最有效的方法之一是启用SMB和LDAP签名。这些安全功能确保客户端和服务器之间的所有消息都经过数字签名，防止攻击者篡改或中继认证流量。没有签名，NTLM凭据可能会被截获并被攻击者重用，以获得对网络资源的未授权访问。

启用认证扩展保护

EPA将NTLM认证与底层的TLS或SSL会话绑定，确保捕获的凭证无法在未经授权的上下文中重用。这种附加的验证可以应用于Web服务器和LDAP等服务，从而显著增加执行NTLM中继攻击的难度。

监控和审计NTLM流量与认证日志

定期审查NTLM认证日志有助于识别异常模式，例如异常的源IP地址或过多的认证失败，这可能表明存在潜在攻击。使用SIEM工具和网络监控来跟踪可疑的NTLM流量，可以增强早期威胁检测能力，并实现更快的响应。

结论

在2025年，NTLM仍然深深植根于Windows环境中，继续为网络犯罪分子提供了利用其长期已知弱点的机会。尽管微软已宣布计划逐步淘汰它，但该协议在遗留系统和企业网络中的普遍存在使其仍然相关且易受攻击。威胁行为者正在积极利用新披露的缺陷来改进凭证中继攻击，提升权限并在网络内横向移动，这突显出NTLM仍然代表着重大的安全负债。

2025年全年观察到的NTLM相关事件激增，说明了依赖过时认证机制的风险日益增长。为了缓解这些威胁，组织必须加快弃用工作，强制实施定期修补，并采用更强大的身份保护框架。否则，NTLM将继续成为攻击者便捷且反复出现的入口点。