CVE-2025-58726漏洞解析：Windows SMB服务器权限提升风险

该安全漏洞可能影响所有Windows版本，除非系统已强制启用SMB签名功能。微软已在2025年10月的补丁星期二活动中发布了修复程序。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

Semperis公司安全研究员Andrea Pierini发现并披露了一个新型Windows安全漏洞（CVE-2025-58726）。攻击者可利用Kerberos认证反射缺陷，通过低权限账户远程获取SYSTEM级别访问权限。该漏洞波及所有Windows版本，除非系统已强制开启SMB签名功能。微软在2025年10月补丁星期二活动中已推出修复方案。

通过机器认证实现高权限远程命令执行 | 图片来源：Andrea Pierini

Kerberos反射攻击机制

Pierini的研究表明："即便已修复CVE-2025-33073，Kerberos认证反射仍可被滥用于远程权限提升。"该漏洞利用"Ghost SPN"（映射到无法解析主机名的服务主体名称），诱使Windows系统通过SMB向自身进行认证，从而将权限提升至SYSTEM级别。

利用已注册的GHOST服务器获取TGS服务票据 | 图片来源：Andrea Pierini

Pierini解释道："当攻击者捕获受害者（设备或用户）的认证请求，并将该认证反射或重放回受害者自身服务时，就会发生认证反射。这种攻击诱使受害者向自身进行认证，使攻击者无需知晓凭据即可提升权限。"

Ghost SPN的核心威胁

CVE-2025-58726的核心在于Ghost SPN概念——这些服务主体名称引用的主机名已不存在于DNS记录中。在大型或老化的Active Directory环境中，此类"幽灵"记录普遍存在，通常源于系统退役、部署脚本拼写错误或混合环境中无法访问的主机。

Pierini指出："Ghost SPN引入了攻击者可利用的攻击面。默认Active Directory设置允许标准用户注册DNS记录，从而促成此类攻击。"通过注册指向攻击者控制IP的DNS记录，低权限用户可诱使目标系统向攻击者主机进行认证。

攻击链实现条件

利用CVE-2025-58726的攻击链需要满足以下基本条件：

拥有低权限域用户账户；目标设备已加入域且禁用SMB签名；设备配置了HOST/...或CIFS/...类型的Ghost SPN；具备注册DNS记录的能力（Active Directory默认启用）

攻击实施流程包括：

识别与目标机关联的Ghost SPN；将该SPN解析至攻击者IP的DNS记录；使用Kerberos中继工具（如Pierini开源的KrbRelayEx）拦截认证；通过PrinterBug或PetitPotam等工具触发认证；将Kerberos票据中继回目标的SMB服务；通过SMB远程获取SYSTEM级别访问权限

协议层安全缺陷

值得注意的是，该攻击绕过了微软此前针对CVE-2025-33073的补丁（该补丁修复了相关SMB客户端权限提升漏洞）。Pierini强调："CVE-2025-33073的修复仅针对特定SMB客户端问题，而Ghost SPN攻击方法可绕过该修复。漏洞实质存在于Kerberos协议本身，其未能阻止认证反射行为。"

这表明漏洞存在于Kerberos协议处理机制内部，不仅限于SMB服务。这意味着其他依赖Kerberos的服务（如RDP、WMI或RPC/DCOM）在特定条件下也可能存在风险。Pierini对微软2025年10月补丁的逆向工程显示，修复措施实现在SRV2.SYS驱动程序中，该驱动负责服务端SMB逻辑处理。