Kerberos中继攻击新手法：利用DNS CNAME绕过安全防护，PoC已发布

Kerberos中继攻击新手法：利用DNS CNAME绕过安全防护，PoC已发布

Windows Kerberos 认证中存在一个关键漏洞，显著扩大了 Active Directory 环境中凭据中继攻击的攻击面。

通过滥用 Windows 客户端在处理 DNS CNAME 响应时获取 Kerberos 服务票据的行为，攻击者可以诱骗系统为攻击者控制的服务请求票据，从而绕过传统的安全防护措施。

攻击流程图 (来源: Cymulate)

攻击向量

该漏洞的核心在于 Windows 的一个基本行为：当 Windows 客户端收到 DNS CNAME 记录时，它会遵循这个别名。随后，客户端在构建 Ticket Granting Service (TGS) 请求时，会将 CNAME 中的主机名作为 Service Principal Name (SPN) 来使用。

一个能够进行中间人攻击（例如通过 ARP 投毒、DHCPv6 投毒即 MITM6，或类似方法）以拦截 DNS 流量的攻击者，可以利用此行为强制受害者为攻击者选择的目标请求服务票据。

当受害者尝试访问一个合法的域内资产时，恶意的 DNS 服务器会响应一个指向攻击者控制的主机名的 CNAME 记录，并附带一个将该主机名解析为攻击者 IP 地址的 A 记录。

这将导致受害者使用原本应为攻击者目标服务生成的票据，向攻击者的基础设施进行身份认证。

攻击能力与影响

测试证实，该利用手法在 Windows 10、Windows 11、Windows Server 2022 和 Windows Server 2025 的默认配置下均能成功。

当未强制启用签名或 Channel Binding Tokens (CBT) 时，该攻击能成功针对未受保护的服务，包括 SMB、HTTP 和 LDAP。该漏洞已于 2025 年 10 月向 Microsoft 进行了负责任地披露。

DNS投毒将受害者重定向至恶意目标，强制产生Kerberos TGS请求 (来源: Cymulate)

作为回应，Microsoft 为 HTTP.sys 增加了 CBT 支持，并在 2026 年 1 月的安全更新中，为所有受支持的 Windows Server 版本发布了补丁，漏洞编号为 CVE-2026-20929。

然而，此缓解措施仅解决了 HTTP 中继场景。底层的 DNS CNAME 强制利用原语并未改变，这使得其他协议仍处于易受攻击的状态。

概念验证 (PoC)

研究人员已在 GitHub 上发布了一个带有 CNAME 投毒功能的 MITM6 工具修改版本。该工具支持针对特定域或所有 DNS 查询进行有针对性的 CNAME 投毒。

该工具包含用于集成 ARP 投毒的纯 DNS 模式，并支持对关键基础设施的流量进行透传。利用此漏洞需要 Python 3.x 和 Linux 操作系统。

指向攻击者IP的adcs-server.mycorp.localA记录 (来源: Cymulate)

Cymulate 研究实验室建议组织实施分层防御：

这项研究揭示了一个关键的安全现实：Kerberos 协议本身并不能固有地防止中继攻击。防护的落地实施在于服务层面。

DNS投毒后，受害者连接到攻击者的恶意HTTP或SMB服务器 (来源: Cymulate)

仅禁用 NTLM 是不够的；组织必须明确地在每一个启用 Kerberos 的服务上强制实施反中继保护措施，才能有效消除中继风险。FINISHED
7hswXONgCtRjzi/o0oH4xWPjCv3h9FlQ3qC0cwMUsuevCO3Vpvkv2V5E8JlTo8QfWAcwN24qbd6R/YZWWLa6eX43Xug0y0stcH0Vuk7d68M=
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）