【安全资讯】深入分析CVE-2025-33073：NTLM反射漏洞的新变种

概要：

近日，安全研究人员发现了一个新的Windows漏洞CVE-2025-33073，该漏洞绕过了NTLM反射缓解措施，允许经过身份验证的远程攻击者在未强制执行SMB签名的任何机器上以SYSTEM权限执行任意命令。这一漏洞的发现和分析揭示了Windows认证机制中的深层次问题，对全球范围内的企业和政府部门构成了严重威胁。

主要内容：

CVE-2025-33073是一个逻辑漏洞，它利用了Windows NTLM认证机制中的反射漏洞。攻击者可以通过特定的DNS记录（如srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA）强制目标机器进行本地NTLM认证，从而绕过现有的防护措施。这一漏洞的核心在于客户端和服务器在认证过程中的逻辑判断错误，导致攻击者能够以SYSTEM权限执行命令。

漏洞的发现源于研究人员对Kerberos反射攻击的探索。通过使用PetitPotam工具强制lsass.exe进行认证，研究人员发现当使用特定格式的DNS记录作为监听主机时，NTLM本地认证会被触发。这一过程中，攻击者能够获取SYSTEM令牌，进而完全控制目标机器。

微软已发布补丁修复此漏洞，主要通过在mrxsmb.sys驱动中添加对目标名称的检查来防止利用。然而，专家建议企业还应强制执行SMB签名以全面防范此类攻击。这一漏洞再次凸显了防御深度策略的重要性，即使在面对零日漏洞时也能有效降低风险。