CVE-2025-54918 是一項重大的 Windows 提權漏洞,影響 Win10、Win11 及 Server 2010-2025 全版本。其核心攻擊手法結合了「強制身分驗證(Authentication Coercion)」與 NTLM Relay 繞過 LDAP 驗證。攻擊者可透過 PetitPotam 等工具強迫目標機器發出請求,並利用 ntlmrelayx 工具攔截驗證資訊,將低權限 Domain User 提權至 DCSync 權限,進而獲取全網域憑據(Credentials)。
本文實測透過 DNS 汙染與 MS-EFSRPC 協定濫用,成功示範 Windows Server 2022 的提權流程。面對此高風險漏洞,強烈建議組織立即更新系統 Patch 並檢查虛擬機環境,以防範身分驗證轉送攻擊。
CVE-2025-54918是個提權手法,它攻擊手法是搭配Windows的強制身分驗證攻擊(authentication coercion attack)達到NTLM relay繞過LDAP驗證,影響OS版本包含win10、win11、windows server 2010~2025。
強制身分驗證攻擊是指利用信任關係去強迫目標機器主動發出身分驗證請求,並非傳統意義上的漏洞利用,因此更難防禦。
強迫目標機器去對服務進行身分驗證,接著再透過攔截取得驗證資訊,偷取的驗證資訊可以拿來重複利用,過去有名的幾個強制身分驗證攻擊有:Printerbug、PetitPotam、DFSCoerce等。
Pinterbug顧名思義是針對印表機的漏洞,利用印表機的MS-RPRN服務,低權限domain user可以透過SMB強迫Print
Spooler服務給予攻擊者認證,並利用監聽工具側錄到目標機器的TGT。
PetitPotam這是被稱為小河馬的漏洞,他濫用了MS-EFSRPC協定,這個協定是加密檔案系統遠端協定,攻擊手法是低權限domain user可以透過RPC協定來對DC發出NTLM認證,並利用NTLM轉送攻擊取得ADDC。
DFSCoerce是濫用MS-DFSNM協定,這個協定是用於分散式檔案系統命名空間管理協定,和上述小河馬一樣的攻擊手法,低權限的domain user透過對DC發出NTLM認證取得ADDC。
CVE-2025-54918的攻擊流程是先汙染DNS用於監聽,接著利用強制身分驗證攻擊(範例中使用PetitPotam),使用ntlmrelayx工具讓低權限domain user取得dcsync權限。
我們參考了此篇POC的流程https://github.com/Wh0am123/CVE-2025-54918-POC前置條件:server還沒上patch+低權限domain user
從指令中得到了這些資訊 : 機器使用windows server 2022,機器本身還沒上patch,AD資訊domain:testgcb.com、我們有bob普通domain user帳號,因為沒有高權限因此也不能dcsync。
接著開好ntlmrelayx進行監聽,監聽ldaps並且選擇escalate-user,目的是在攔截到bob時能將他提權為高權限使用者。
開新視窗,進行DNS汙染,利用krbrelayx裡的dnstool來把汙染原本的DNS record要指向我們攻擊者的IP :
汙染成功後,再進行PetitPotem攻擊 :
可以回到原本的ntlmrelayx看到回應,成功的話訊息會向下面連線成功並且告知成功給予Dcsync權限。
看到攻擊成功訊息之後就可以用提權後的bob進行dcsync,可以取得整台機器的credential。
這已經是2025年9月的漏洞了,但影響了幾乎全部windows機器,因此建議再次檢查所有機器包含平時測試用的虛擬機,是否有補好patch更新。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考來源:
