1. 簡介

NT LAN Manager (NTLM) 認證協定，儘管其年代久遠且有更安全的替代方案如 Kerberos，仍然因向後相容性及特定使用情境而在許多 Windows 環境中廣泛存在。CVE-2025-24054 是此廣泛部署協定中的一個嚴重安全漏洞。由 Check Point Research 1 識別並詳述，此漏洞允許遠端攻擊者在有漏洞的系統上執行任意程式碼，通常因其可能在關鍵 lsass.exe 程序中顯現而具有提升的權限。此漏洞的攻擊程式已在「野外」流傳，凸顯組織了解並應對此威脅的迫切性。本報告旨在提供該漏洞的全面技術概述，根據 NTLM 的特性及認證協定中典型的 RCE 攻擊模式進行推論。

2. 背景：NTLM 認證協定

要了解 CVE-2025-24054，必須具備 NTLM 認證過程的基礎知識。NTLM 是一種挑戰-回應認證協定，用於 Windows 環境中。典型的 NTLMv2 握手涉及客戶端（尋求存取）和伺服器（主機資源或認證網域控制器）之間交換的三個訊息：

• 類型 1 訊息 (Negotiate)： 客戶端通過向伺服器發送 NEGOTIATE_MESSAGE 來啟動流程。此訊息宣告客戶端的能力，例如支援 NTLMv2、Unicode、Session 安全功能（簽署 : signing、密封 : sealing ）等，使用一組旗標。
• 類型 2 訊息 (Challenge)： 伺服器回應一個 CHALLENGE_MESSAGE 。此訊息包含伺服器挑戰（一個隨機 nonce），關於伺服器的資訊（確認協商參數的旗標），以及可能的目標資訊。伺服器基本上挑戰客戶端證明其知道使用者的密碼。
• 類型 3 訊息 (Authenticate)： 客戶端使用使用者的密碼雜湊（NT 雜湊或 LM 雜湊，儘管 LM 極不安全且不建議使用）以及伺服器挑戰（來自類型 2）來計算一個或多個挑戰回應。這些回應連同使用者/網域資訊、Session 金鑰和協商旗標，一起被送回伺服器，包含在 AUTHENTICATE_MESSAGE 中。伺服器（或其轉發請求的網域控制器）使用其對使用者密碼雜湊的知識來驗證客戶端的回應。

複雜性來自於各種旗標、可選欄位、NTLMv1/v2 的差異，以及這些訊息內部的複雜結構，特別是攜帶可變長度資料塊的類型 3 訊息，如 NTLMv2 Response 和 Session Security 細節。認證處理，特別是解析這些訊息，由 Windows 的核心安全元件負責，主要在 lsass.exe 程序中。LSASS 負責執行安全策略、管理使用者登入和處理認證 Token，使其成為攻擊者的高價值目標。

3. 漏洞分析 (CVE-2025-24054)

雖然具體的程式碼層面細節需要存取 Check Point 的分析或進行逆向工程，但我們可以根據歷史 NTLM 漏洞和網路協定處理中常見的 RCE 模式，推測 CVE-2025-24054 的可能技術本質。

3.1 攻擊途徑

該漏洞可遠端觸發。攻擊者需要誘導目標系統（客戶端或伺服器，視具體缺陷而定）參與 NTLM 認證握手，其中攻擊者控制交換的一個或多個訊息。常見情境包括：

• 伺服器端攻擊： 攻擊者連接到目標伺服器上使用 NTLM 認證的服務（例如 SMB 檔案共享、MSRPC 服務、HTTP 與整合式 Windows 認證），並發送惡意製作的 NTLM 訊息（可能是類型 1 或類型 3）。
• 客戶端攻擊： 攻擊者誘騙客戶端機器向攻擊者控制的惡意伺服器發起 NTLM 認證請求（例如透過釣魚連結 file://\\attacker-server\share 、LLMNR/NetBIOS-NS 中毒，或重新導向服務連線）。惡意伺服器然後發送精心製作的類型 2 挑戰訊息。

鑑於 NTLM 的特性，針對像 SMB 這樣服務的伺服器端攻擊似乎是一個極有可能的途徑。

3.2 可能的技術根本原因

協定解析中的遠端程式碼執行漏洞通常源於記憶體損壞錯誤。CVE-2025-24054 在 lsass.exe 的 NTLM 訊息處理邏輯中的潛在根本原因可能包括：

• 緩衝區溢位（堆積 : Heap 或堆疊 : Stack）： 解析常式可能錯誤計算 NTLM 訊息中可變長度欄位（例如使用者名稱、網域名稱、NTLMv2 回應結構、AV_PAIRs）所需的緩衝區大小。攻擊者可能提供超大資料或操縱長度欄位，導致資料寫入超出分配的緩衝區邊界，可能覆寫關鍵資料，如返回位址（堆疊溢位）或堆積 metadata/函數指標（堆積溢位）。
• 整數溢位/下溢： 涉及訊息欄位長度或偏移的錯誤算術運算可能導致整數溢位或下溢。這可能導致分配的緩衝區過小，當資料被複製時導致後續的緩衝區溢位。
• 釋放後使用： NTLM 握手期間的複雜狀態管理可能導致指向資料結構（例如，表示驗證環境）的指標被釋放但隨後被存取的情況，這可能允許攻擊者控制釋放記憶體位置的資料。
• 類型混淆 / 不當輸入驗證： 程式碼可能根據旗標或其他欄位錯誤解釋 NTLM 訊息中的資料類型或結構，導致以不安全的方式處理資料，可能引起記憶體損壞或可被攻擊的邏輯錯誤，進而實現 RCE。

該漏洞可能位於負責解析 LSASS 內類型 1、類型 2 或類型 3 NTLM 訊息欄位的程式碼中。AV_PAIR 結構（NTLMv2 中使用的屬性-值對）的複雜性是解析錯誤的常見來源。

3.3 攻擊機制

實現 RCE 通常涉及觸發記憶體損壞後的以下步驟：

1. 觸發漏洞： 攻擊者通過選擇的攻擊途徑發送特殊製作的 NTLM 訊息。
2. 記憶體損壞： 漏洞在 lsass.exe 程序內引起可預測的記憶體損壞。
3. 控制流劫持(Control Flow Hijack)： 攻擊者利用損壞來重新導向程式執行流程。這通常通過覆寫函數指標或堆疊上的返回位址來指向攻擊者控制的資料。
4. Shellcode 執行： 重新導向的控制流跳轉到攻擊者先前置於記憶體中的 Shellcode（一小段機器碼，通常嵌入在 Payload 本身中，有時使用 heap spraying 等技術）。此 Shellcode 通常執行諸如開啟Reverse Shell 、下載並執行進一步惡意軟體，或新增管理員使用者等操作，有效地讓攻擊者以 SYSTEM 權限控制系統（因為 lsass.exe 以 SYSTEM 身份運行）。

4. 影響與意義

成功攻擊 CVE-2025-24054 可授予攻擊者遠端程式碼執行能力，通常在受損主機上具有 SYSTEM 權限，因其針對 lsass.exe 。其影響極為嚴重：

• 完整系統入侵： 攻擊者獲得對受影響伺服器或工作站的完全控制。
• 資料竊取： 存取有漏洞的系統儲存或處理的敏感資料。
• 橫向移動： 有漏洞的系統可用作橋頭堡，深入網路，潛在針對網域控制器或其他關鍵資產。LSASS 記憶體中的 NTLM 憑證/雜湊也可能被傾倒（例如使用 Mimikatz）以促進此行動。
• 勒索軟體部署： 攻擊者可在有漏洞的系統或網路上部署勒索軟體。
• 持續存取： 安裝後門或其他惡意軟體以實現長期存取。

「野外」攻擊的確認表明 Threat actor 正積極利用此漏洞，使其對未更新系統構成明確且當前的危險。

5. 緩解與預防

應對 CVE-2025-24054 需要多方面的策略：

1. 更新： 優先應用 Microsoft 發布的安全更新以解決此漏洞。
2. NTLM 強化：
   • 禁用 NTLM： 在可能的情況下，全面轉向 Kerberos 認證並通過群組原則禁用 NTLMv1 和 NTLMv2。這是最安全的長期解決方案，但可能需要相容性測試。
   • 啟用認證擴展保護 (EPA)： 有助於緩解可能與此 RCE 結合的 NTLM 中繼攻擊。
   • 啟用 SMB 簽署： 強制執行 SMB 訊息簽署以防止篡改和某些中繼攻擊。
   • 限制 NTLM 使用： 配置策略以限制哪些帳戶可以使用 NTLM 或限制外發 NTLM 流量。
3. 網路分段與防火牆： 阻止來自外部網路的不必要 NTLM 流量（例如 SMB/RPC 通訊埠 445、139），並分段內部網路以限制入侵的影響範圍。
4. 入侵偵測/預防系統 (IDS/IPS)： 部署更新的 IDS/IPS 簽章，設計用於偵測或阻止針對 CVE-2025-24054 的攻擊嘗試。
5. 端點偵測與回應 (EDR)： 監控 lsass.exe 的異常行為、記憶體存取模式（指示攻擊）或可疑進程創建。

6. 結論

CVE-2025-24054 是 Microsoft NTLM 認證協定中的關鍵遠端程式碼執行漏洞，因其可能授予攻擊者 SYSTEM 級存取權限及其在野外被確認的攻擊，對 Windows 環境構成重大風險。該漏洞可能源於 LSASS 處理 NTLM 訊息的複雜解析邏輯中的記憶體損壞缺陷。雖然從 NTLM 轉向 Kerberos 是理想的長期策略，但立即更新至關重要。補充安全措施，包括 NTLM 強化、網路分段以及通過 IDS/IPS 和 EDR 解決方案的強大監控，對於全面防護此類針對核心認證機制的威脅至關重要。

7. 參考文獻

1. CVE-2025-24054, NTLM Exploit in the Wild