Windows SMB服务器权限提升漏洞CVE-2025-58726

Windows SMB（服务器消息块）服务器用于实现不同系统间文件共享与资源访问，支持透明故障转移、端到端加密、多通道聚合等功能。 ‌

SMB（Server Message Block）协议实现文件共享也叫CIFS（Common Internet File System），Windows和类Unix系统间共享文件协议。

一、基本情况

SMB 是基于 TCP/IP 的网络文件共享协议，从而可以使计算机上的应用程序可读取和写入文件以及从计算机网络中的服务器程序请求服务。

使用 SMB 协议时，应用程序（或应用程序用户）可访问远程服务器上的文件或其他资源，从而可读取、创建和更新远程服务器上的文件。

栋科技漏洞库关注到一个新型 Windows SMB 服务器权限提升漏洞，漏洞现在已经被追踪为CVE-2025-58726，漏洞CVSS 3.X评分为7.5。

二、漏洞分析

CVE-2025-58726是最新被披露的 Windows 漏洞，攻击者可利用 Kerberos 认证反射缺陷，以低权限账户远程获取 SYSTEM 级访问权限。

该漏洞存在于 Kerberos 协议处理机制内部，不仅限于SMB服务，要说明的是漏洞影响所有 Windows 版本，除非强制启用SMB签名功能。

攻击者利用该漏洞可以直接绕过微软此前针对 CVE-2025-33073 的补丁（该补丁修复了相关 SMB 客户端权限提升漏洞），从而实施攻击。

CVE-2025-33073 的修复仅针对特定 SMB 客户端问题，而 Ghost SPN 攻击方法可绕过该修复。

漏洞实质存在于 Kerberos 协议本身，其未能阻止认证反射行为。这表明漏洞存在于 Kerberos 协议处理机制内部，不仅限于 SMB 服务。

这意味着其他依赖 Kerberos 的服务（如 RDP、WMI 或 RPC/DCOM）在特定条件下也可能存在风险。

Andrea Pierini 对微软 2025 年 10 月补丁的逆向工程显示，修复措施实现在 SRV2.SYS 驱动程序中，该驱动负责服务端 SMB 逻辑处理。

1、Kerberos 反射攻击机制

安全Semperis 公司的安全研究员 Andrea Pierini 指出，即使已经修复 CVE-2025-33073，Kerberos 认证反射仍可被滥用于远程权限提升。

该漏洞利用Ghost SPN（映射到无法解析主机名服务主体名称），诱导Windows通过SMB向自身进行认证，将权限提升至 SYSTEM 级别。

当攻击者捕获受害者（机器或用户）的认证请求，并将该认证反射或重放回受害者自身服务时，就会发生认证反射。

这种攻击诱使受害者向自身进行认证，使攻击者无需知晓凭证即可提升权限。

2、Ghost SPN 的核心威胁

CVE-2025-58726 的核心在于 Ghost SPN 概念——这些服务主体名称引用的主机名已不存在于 DNS 记录中。

大型或老化的Active Directory环境中，此类"幽灵"记录普遍存在，通常源于系统退役、部署脚本拼写错误或混合环境中无法访问的主机。

Ghost SPN 引入了攻击者可利用的攻击面。默认 Active Directory 设置允许标准用户注册 DNS 记录，从而促成此类攻击。

通过注册指向攻击者控制IP的DNS记录，低权限用户可诱使目标系统向攻击者主机进行认证。

三、POC概念验证

1、漏洞利用前置条件

拥有低权限域用户账户、 目标设备已加入域且禁用 SMB 签名、

目标设备配置了 HOST/... 或 CIFS/... 类型的 Ghost SPN 、具备注册 DNS 记录的能力（Active Directory 默认启用）

2、攻击实施流程

识别与目标机关联的 Ghost SPN

注册将该 SPN 解析至攻击者 IP 的 DNS 记录

使用 Kerberos 中继工具（如 Pierini 开源的 KrpelayEx）拦截认证

通过 PrinterBug 或 PetitPotam 等工具触发认证

将 Kerberos 票据中继回目标的 SMB 服务

通过 SMB 远程获取 SYSTEM 级访问权限

四、影响范围

所有 Windows 版本

五、修复建议

下载更新2025年10月补丁星期二活动中发布的修复程序

六、参考链接

管理员已设置登录后刷新可查看