针对 NTLM 反射绕过漏洞发布 PoC,该漏洞可实现 Windows Server 上的系统访问

CVE-2026-24294 的公开概念验证漏洞已发布,这是一个 Windows SMB Server 漏洞,可以让低权限的本地攻击者获得 Windows Server 2025 上的系统访问权限。

该缺陷不是典型的远程代码执行错误。这是一个本地特权提升问题,滥用 NTLM 反射、SMB 连接重用以及允许通过替代 TCP 端口进行连接的较新的 SMB 功能。

该技术的详细描述为同步激活,其中表示该问题默认在 Windows Server 2025 上有效,但在 Windows 11 24H2 上无效,因为那里强制执行 SMB 签名。

CVE-2026-24294 允许什么

CVE-2026-24294 影响 Windows SMB Server,并可能允许授权攻击者在本地提升权限。攻击者的目标是让特权 Windows 服务向攻击者控制的本地 SMB 服务进行身份验证,然后将该身份验证转发回真正的 SMB 服务。

公众CVE-2026-24294 PoC将攻击描述为使用 Windows 11 24H2 和 Windows Server 2025 中支持连接到任意 TCP 端口的 SMB 客户端功能的本地 NTLM 反射。

一旦中继成功,攻击者就可以获得以 NT AUTHORITY\SYSTEM 身份验证的 SMB 会话。这使攻击者能够对受影响的计算机进行高级控制。

物品细节
CVECVE-2026-24294
成分Windows 中小企业服务器
漏洞类型特权提升
影响本地系统访问
CVSS7.8 高
补丁状态于 2026 年 3 月补丁星期二修复

微软将该缺陷评为高严重性

NVD条目表示 Windows SMB Server 中的不正确身份验证允许授权攻击者在本地提升权限。 Microsoft 贡献的 CVSS 3.1 得分为 7.8。

CVSS向量列出了本地攻击访问、低权限、无用户交互以及对机密性、完整性和可用性的高影响。这种组合使得该错误变得严重,尽管它本身无法从互联网上远程利用。

Rapid7 的2026 年 3 月补丁星期二摘要将 CVE-2026-24294 列为 Windows SMB Server 特权提升漏洞,利用评级为“更有可能”。

NTLM 反射攻击的工作原理是欺骗 Windows 系统对攻击者控制的服务进行身份验证,然后将该身份验证转发回同一台计算机或另一个目标。

微软修补了早期的 CVE-2025-33073 问题,但 Synacktiv 表示,修复重点是一个反射路由,而不是消除中继本地身份验证的潜在风险。

在新路径中,研究人员滥用了通过非标准 TCP 端口连接到 SMB 共享的功能。微软的替代 SMB 端口文档称,当服务器支持时,SMB 客户端可以连接到替代 TCP、QUIC 和 RDMA 端口。

  • 攻击者在非标准端口上启动本地 SMB 服务。
  • 攻击者使用该端口通过 SMB 客户端安装共享。
  • 特权服务被强制对同一共享路径进行身份验证。
  • SMB 客户端重用现有连接。
  • 特权 NTLM 身份验证将转发回真正的 SMB 服务。

Synacktiv 描述的攻击使用了修改后的 Impacket 组件、Windows net.exe 以及基于 PetitPotam 风格行为的本地强制技术。公共 PoC 为想要在实验室重现该问题的研究人员和维护者提供了该逻辑。

GitHub 概念验证该技术将任意 SMB TCP 端口与 SMB 会话复用相结合。目标是强制 LSASS 在非标准本地端口上向攻击者控制的 SMB 服务器进行身份验证。

防御者应该将 PoC 视为现在更容易获得漏洞利用知识的标志。组织应该专注于修补、SMB 签名、NTLM 减少和监控,而不是假设错误仍停留在理论上。

攻击元素在漏洞利用链中的角色
替代 SMB 端口让攻击者在端口 445 之外运行本地 SMB 侦听器
SMB 连接重用帮助特权身份验证重用已挂载的共享路径
LSASS强制强制特权 Windows 服务进行身份验证
NTLM继电器将特权身份验证中继到本地 SMB 服务
缺少 SMB 签名强制执行允许中继在受影响的服务器配置上成功

Windows Server 2025 是主要关注点

Synacktiv 表示,该攻击默认在 Windows Server 2025 上起作用。同一研究称,该攻击在 Windows 11 24H2 上不起作用,因为 SMB 签名会阻止中继路径。

微软的SMB 签名文档表示 Windows 11 24H2 Enterprise、Pro 和 Education 默认情况下需要入站和出站 SMB 签名,而 Windows Server 2025 默认情况下需要出站 SMB 签名。

这种差异很重要,因为当签名在相关 SMB 会话上强制执行消息完整性时,中继攻击会失败。不强制执行正确签名行为的服务器仍然更容易受到 NTLM 中继和反射路径的影响。

微软三月份改变了什么

Microsoft 在 2026 年 3 月安全更新中修复了 CVE-2026-24294。尚未应用这些更新的管理员应将 Windows Server 2025 系统视为优先修补目标,特别是在存在本地用户、共享管理服务器或开发人员访问权限的情况下。

CVE记录将该弱点列为 CWE-287,即身份验证不当。该分类与攻击模式相匹配,因为 Windows 接受或中继身份验证的方式允许低特权参与者访问更高特权的上下文。

Rapid7 的星期二补丁审查还将 CVE-2026-24294 标记为在 Microsoft 发布时未公开披露,但被利用的可能性更大。

为什么 SMB 签名是关键防御

SMB 签名为 SMB 流量添加了完整性保护。它有助于阻止篡改和中继攻击,因为每个签名的数据包都可以由接收者验证。

微软的中小企业签名指南建议使用 Kerberos 而不是 NTLMv2,避免 IP 地址共享连接,并避免 SMB 路径的 CNAME DNS 记录。

组织不应仅依赖三月补丁。跨服务器和客户端强制执行 SMB 签名可减少未来 NTLM 中继变体滥用不同 Windows 身份验证路径的机会。

  • 应用 2026 年 3 月的 Windows 安全更新。
  • 在业务系统允许的情况下强制执行 SMB 签名。
  • 仍允许未签名的 SMB 会话的审核系统。
  • 限制服务器上的本地登录和低权限访问。
  • 监控非标准端口的 SMB 流量。
  • 减少 NTLM 使用并将工作负载转向 Kerberos。

替代 SMB 端口需要监控

替代端口功能具有合法用途。它允许管理员通过 TCP、QUIC 和 RDMA 的传统默认值以外的端口配置 SMB。

然而,同样的灵活性创建了一个检测点。高端口或非标准本地端口上的意外 SMB 活动应触发审核,特别是如果它出现在用户不应运行本地 SMB 侦听器的 Windows Server 2025 系统上。

微软的SMB 端口指南还表示组织可以阻止配置备用端口或限制与特定服务器的备用端口连接。

信号为什么这很重要
非标准本地端口上的 SMB可能表明试图滥用替代 SMB 端口支持
意外的净使用活动可以揭示可疑的共享安装行为
对本地共享的 LSASS 网络身份验证可能表示身份验证强制
未签名的 SMB 会话增加中继和反射风险
新的本地 SMB 侦听器可以暴露主机上攻击者控制的中继基础设施

NTLM 仍然是一个更大的问题

CVE-2026-24294 说明了为什么 NTLM 仍然难以保证安全。单独的反射路径可以被修补,但攻击者不断寻找新的方法来强制和中继身份验证。

Microsoft 已经开始从 NTLM 进行更广泛的过渡。公司的NTLM 弃用计划表示 Windows 正在通过增强审核、Kerberos 改进和未来的默认阻止,迈向独立于 NTLM 的未来。

这个方向很重要,因为 NTLM 不提供与 Kerberos 相同的服务器身份保证。只要 NTLM 仍然广泛可用,攻击者就会继续测试中继和反射绕过。

管理员应如何减少暴露

管理员应首先确认 2026 年 3 月的安全更新已应用于 Windows Server 2025 系统。然后,他们应该检查 SMB 签名要求、本地用户权限以及整个环境中的 NTLM 使用情况。

微软的NTLM 审核增强功能Windows 11 24H2 和 Windows Server 2025 帮助管理员识别谁在使用 NTLM、选择 NTLM 的原因以及身份验证发生的位置。

这种可见性对于迁移很重要。安全团队无法安全地禁用或限制 NTLM,除非他们知道哪些应用程序、服务和旧工作流仍然依赖于 NTLM。

优先事项建议采取的行动
即时在受影响的服务器上安装 2026 年 3 月 Windows 安全更新
即时确认 Windows Server 2025 上的 SMB 签名要求
高的审核通过替代 TCP 端口的 SMB 访问
高的限制低权限本地访问敏感服务器
进行中使用 NTLM 审核来识别遗留依赖项
进行中尽可能将服务转向 Kerberos

安全团队的检测思路

防御者应监视 Windows Server 2025 上异常的 SMB 客户端行为,包括与非标准端口上的环回或本地 IP 地址的连接。他们还应该注意实验室或生产环境中的中继工具行为。

事件监视应重点关注 NTLM 使用、本地 SMB 身份验证、可疑共享挂载、net.exe 的意外使用以及对异常路径的特权服务身份验证。

微软的增强的 NTLM 审核日志可以帮助防御者回答谁使用了 NTLM、为什么使用以及发生在哪里。这些详细信息可以帮助将遗留行为与可疑的身份验证流程区分开来。

  • 对通过非标准端口到环回地址的 SMB 连接发出警报。
  • 查看指定异常 SMB 连接参数的 net use 命令。
  • 研究对意外本地共享的 LSASS 身份验证。
  • 监视需要签名的未签名 SMB 会话。
  • 跟踪来自应使用 Kerberos 的服务器的 NTLM 身份验证事件。
  • 阻止或限制不需要的替代 SMB 端口配置。

Windows 身份验证的更广泛的教训

公开 PoC 并不意味着每个 Windows Server 2025 系统都会被远程暴露。攻击者需要本地低权限访问,并且修补后的系统不应再容易受到此特定路径的攻击。

尽管如此,这项研究仍然很重要,因为它展示了新的平台功能如何与旧的身份验证弱点相互作用。在这种情况下,替代 SMB 端口和 NTLM 反射创建了一条特权升级路线,该路线在早期反射缓解措施中幸存下来。

微软的Windows 安全路线图明确了长期答案:组织现在需要审核 NTLM,删除不必要的依赖项,并为更强大的基于 Kerberos 的默认设置做好准备。

底线

CVE-2026-24294 是一个严重的 Windows Server 2025 权限提升缺陷,尤其是现在漏洞代码已公开。当易受攻击的 SMB 和 NTLM 反射条件满足时,它可以将低特权的本地访问转变为系统访问。

实际反应很简单。修补 Windows Server 系统、强制执行 SMB 签名、监控非标准端口上的 SMB,并尽可能减少 NTLM。

组织还应将此视为有关身份验证强化的警告。阻止一条反射路径会有所帮助,但消除 NTLM 依赖并强制执行消息完整性可为防御者提供更强大的长期地位。

FAQ

什么是 CVE-2026-24294?

CVE-2026-24294 是一个 Windows SMB Server 特权提升漏洞。它可以允许授权的本地攻击者通过 NTLM 反射绕过路径将权限提升到 SYSTEM。

CVE-2026-24294 是预身份验证远程代码执行缺陷吗?

不会。Microsoft 和 NVD 将 CVE-2026-24294 归类为需要授权攻击者的本地特权提升漏洞。公开研究表明它可以导致 Windows Server 2025 上的系统访问,但它并不是最好的描述为面向互联网的预身份验证 RCE。

哪些系统受 PoC 影响最大?

Synacktiv 表示,该攻击默认在 Windows Server 2025 上起作用,但在 Windows 11 24H2 上不起作用,因为那里强制执行 SMB 签名。管理员仍应修补所有受影响的 Windows 系统。

Microsoft 如何修复 CVE-2026-24294?

Microsoft 在 2026 年 3 月补丁星期二更新中修复了 CVE-2026-24294。管理员应验证受影响的 Windows Server 2025 系统是否已收到相关安全更新。

组织如何降低 NTLM 反射风险?

组织应安装最新的 Windows 安全更新、强制执行 SMB 签名、审核和减少 NTLM 使用、限制服务器上的低特权本地访问,并监控非标准端口上的 SMB 流量。