
近期安全圈被一则消息搅动——Synacktiv 团队放出了一套完整的 PoC 代码针对编号 CVE-2026-24294 的新型 NTLM 反射绕过漏洞。这套利用链的终点直指 Windows Server 2025 的 SYSTEM 权限意味着攻击者一旦得手就能在目标机器上拥有至高无上的控制权。更让人不安的是这个漏洞的出现恰恰暴露了微软此前修补策略的深层盲区。旧补丁的边界CVE-2025-33073 并未画上句号把时间拨回到 2025 年CVE-2025-33073 的曝光让 NTLM 反射攻击重新回到红队视野。当时攻击者惯用的手法是诱导 Windows 主机向一台受控服务发起身份验证再把拿到的凭证中继回同一台机器从而骗过系统拿到 SYSTEM 权限。微软的应对思路是修改 SMB 客户端拦截那些目标名称夹带额外编组信息的连接请求——攻击者正是靠这个技巧把远程认证伪装成本地行为。这个修补在当时看来足够直接但 Synacktiv 的研究人员当时就提出了一个尖锐的预判只要能在受控服务器上找到新的本地 NTLM 或 Kerberos 认证入口反射攻击就会死灰复燃。换句话说微软修的是这条路而不是这类路。新漏洞的突破口任意端口 SMB 带来的意外通道CVE-2026-24294 的根基藏在 Windows 11 24H2 和 Windows Server 2025 引入的一项新特性里——系统允许 SMB 连接通过任意 TCP 端口建立不再死磕传统的 445 端口。微软的初衷是给 SMB 部署更大的灵活性却在无意间为未强制启用 SMB 签名的服务器撕开了一道新的本地 NTLM 反射口子。整个攻击的巧妙之处在于对 SMB 连接复用机制的利用。攻击者先在非标准端口比如 12345启动一个本地 SMB 服务器用net use命令把共享挂载到 127.0.0.1 的自定义端口上。Windows SMB 客户端一旦和这个恶意本地服务器建立 TCP 连接由于 SMB 支持多路复用后续多个认证会话都会复用这条通道系统倾向于直接重用现有连接而不是另开新连接。从普通挂载到 SYSTEM 权限的跳跃攻击的下半场围绕如何逼出高特权认证展开。攻击者会诱使以 NT AUTHORITY\SYSTEM 身份运行的服务——典型代表就是 LSASS——去访问同一个共享路径。改良版的 PetitPotam 强制原语在这里派上用场它能向目标服务施压促使其发起认证请求。这时候 SMB 客户端已经有一条现成的 TCP 连接通往攻击者的本地服务器系统会顺着这条通道完成本地 NTLM 认证。攻击者截获这个特权认证后用 Impacket 的ntlmrelayx把凭证中继到主机上真正的 SMB 服务。认证一旦通过一个具有 SYSTEM 权限的 SMB 会话就此建立攻击者相当于拿到了机器的万能钥匙。PoC 的构造与验证细节Synacktiv 在披露中给出了完整的工具组合Impacket 的smbserver.py负责搭建恶意 SMB 服务ntlmrelayx处理中继环节改良后的本地 PetitPotam 二进制文件用来触发特权认证再配合 Windows 自带的net.exe完成挂载。这套工具链在默认配置的 Windows Server 2025 上运行稳定利用成功率相当高。不过值得注意的是如果目标环境强制启用了 SMB 签名这套攻击链会在协议完整性校验环节被拦下。Windows 11 24H2 在强制签名开启的场景下就能免疫此漏洞这也从侧面印证了 SMB 签名在整个防御体系中的关键地位。微软的修复与更深层的反思微软已将此问题正式编号为 CVE-2026-24294并在 2026 年 3 月的补丁星期二推送了修复方案。但从攻防对抗的视角来看这更像是一场永无止境的打地鼠游戏。NTLM 作为一种年代久远的认证协议其设计本身就缺乏现代安全机制所要求的强绑定与防重放能力。只要企业网络里还有大量设备依赖 NTLM且 SMB 签名停留在可选状态攻击者就总有动力去挖掘新的强制认证与中继路径。这次事件传递的信号很清晰单点修补无法根治结构性隐患。Windows 身份验证机制里的底层设计缺陷正在以一种可预见的方式持续发酵。企业侧应当采取的实际措施面对这类威胁防御方需要把动作做在前头。首要任务是尽快部署 2026 年 3 月的安全更新堵住已知的利用通道。在此基础上把 SMB 签名从可选改为强制启用这能直接废掉中继攻击的根基。长远来看逐步削减 NTLM 的使用比例、向 Kerberos 迁移才是正途。日常运维中安全团队还得把视线投向非标准端口上的 SMB 流量异常。445 端口之外的 SMB 会话本就少见若突然出现大量指向 12345 或其他自定义端口的连接很可能就是攻击者在试探或利用此类漏洞。网络层的流量基线监控与终端行为检测结合才能形成有效的纵深防御。写在最后CVE-2026-24294 的出现不是偶然它是 NTLM 反射攻击技术树自然生长的结果。当攻击者从 445 端口的传统战场转向任意端口的新通道防御者也得跟着拓宽视野。Windows Server 2025 作为微软力推的下一代服务器平台在引入新特性的同时也把旧协议的脆弱面暴露在了新的攻击维度下。对于运行关键业务的企业而言把 SMB 签名强制化、加速淘汰 NTLM、建立非常规端口流量的监控能力这三件事已经不再是锦上添花而是关乎根基的必修课。