Semperis 公司研究員 Andrea Pierini 發現并披露了一個新型 Windows 漏洞（CVE-2025-58726），攻擊者可利用 Kerberos 認證反射缺陷，以低權限賬戶遠程獲取 SYSTEM 級訪問權限。該漏洞影響所有 Windows 版本，除非強制啟用 SMB 簽名功能。微軟已在 2025 年 10 月的補丁星期二活動中發布修復程序。

通過機器認證實現高權限遠程命令執行 | 圖片來源：Andrea Pierini

Kerberos 反射攻擊機制

Pierini 的研究表明："即使已修復 CVE-2025-33073，Kerberos 認證反射仍可被濫用于遠程權限提升。"該漏洞利用"Ghost SPN"（映射到無法解析主機名的服務主體名稱），誘使 Windows 通過 SMB 向自身進行認證，從而將權限提升至 SYSTEM 級別。

利用注冊的GHOST服務器請求TGS服務票據 | 圖片來源：Andrea Pierini

Pierini 解釋道："當攻擊者捕獲受害者（機器或用戶）的認證請求，并將該認證反射或重放回受害者自身服務時，就會發生認證反射。這種攻擊誘使受害者向自身進行認證，使攻擊者無需知曉憑證即可提升權限。"

Ghost SPN 的核心威脅

CVE-2025-58726 的核心在于 Ghost SPN 概念——這些服務主體名稱引用的主機名已不存在于 DNS 記錄中。在大型或老化的 Active Directory 環境中，此類"幽靈"記錄普遍存在，通常源于系統退役、部署腳本拼寫錯誤或混合環境中無法訪問的主機。

Pierini 指出："Ghost SPN 引入了攻擊者可利用的攻擊面。默認 Active Directory 設置允許標準用戶注冊 DNS 記錄，從而促成此類攻擊。"通過注冊指向攻擊者控制IP的DNS記錄，低權限用戶可誘使目標系統向攻擊者主機進行認證。

攻擊鏈實現條件

利用 CVE-2025-58726 的攻擊鏈需要滿足以下基本條件：

• 擁有低權限域用戶賬戶
• 目標設備已加入域且禁用 SMB 簽名
• 目標設備配置了 HOST/... 或 CIFS/... 類型的 Ghost SPN
• 具備注冊 DNS 記錄的能力（Active Directory 默認啟用）

攻擊實施流程包括：

• 識別與目標機關聯的 Ghost SPN
• 注冊將該 SPN 解析至攻擊者 IP 的 DNS 記錄
• 使用 Kerberos 中繼工具（如 Pierini 開源的 KrbRelayEx）攔截認證
• 通過 PrinterBug 或 PetitPotam 等工具觸發認證
• 將 Kerberos 票據中繼回目標的 SMB 服務
• 通過 SMB 遠程獲取 SYSTEM 級訪問權限

協議層安全缺陷

值得注意的是，該攻擊繞過了微軟此前針對 CVE-2025-33073 的補丁（該補丁修復了相關 SMB 客戶端權限提升漏洞）。Pierini 強調："CVE-2025-33073 的修復僅針對特定 SMB 客戶端問題，而 Ghost SPN 攻擊方法可繞過該修復。漏洞實質存在于 Kerberos 協議本身，其未能阻止認證反射行為。"

這表明漏洞存在于 Kerberos 協議處理機制內部，不僅限于 SMB 服務。這意味著其他依賴 Kerberos 的服務（如 RDP、WMI 或 RPC/DCOM）在特定條件下也可能存在風險。Pierini 對微軟 2025 年 10 月補丁的逆向工程顯示，修復措施實現在 SRV2.SYS 驅動程序中，該驅動負責服務端 SMB 邏輯處理。