自首次发现二十多年后，NTLM（新技术局域网管理器）认证协议仍在全球范围内威胁着Windows系统的安全。2001年还只是理论上的漏洞，如今已演变成广泛的安全危机，攻击者正积极利用多个NTLM漏洞危害不同地区的网络。

Part01

NTLM协议的安全隐患

NTLM协议设计用于通过三步握手验证Windows环境中的客户端和服务器身份。尽管微软已宣布计划从Windows 11 24H2和Windows Server 2025开始全面淘汰NTLM，但该协议仍存在于数百万系统中。这种持久性为网络犯罪分子创造了可乘之机，他们不断发现并利用NTLM过时机制中的新漏洞。

Part02

多重攻击向量持续活跃

NTLM漏洞催生了多种危险攻击技术。当攻击者制作恶意文件诱骗Windows发送认证哈希时，就会发生哈希泄漏，且无需用户交互。

基于胁迫的攻击会强制系统向攻击者控制的服务器进行认证。一旦凭证泄露，攻击者就会使用凭证转发技术（如哈希传递）在网络中横向移动并提升权限，而无需知道实际密码。
中间人攻击仍然特别有效，NTLM中继是二十年来最具影响力的方法。攻击者将自己置于客户端和服务器之间，拦截认证流量并窃取凭证。
Part03

当前活跃利用的关键漏洞

安全研究人员已识别出2024-2025年正被积极利用的几个关键NTLM漏洞：

• （CVE-2024-43451）通过恶意.url文件导致NTLMv2哈希泄漏。用户只需点击、右击或移动这些文件，系统就会自动连接至攻击者控制的WebDAV服务器。BlindEagle APT组织曾利用此漏洞向哥伦比亚目标分发Remcos RAT，而Head Mare黑客组织则针对俄罗斯和白俄罗斯机构发起攻击。
• （CVE-2025-24054）和（CVE-2025-24071）针对ZIP压缩包内的.library-ms文件，导致系统自动向攻击者控制的服务器进行NTLM认证。研究人员发现俄罗斯有攻击活动利用此方法分发AveMaria木马。
• （CVE-2025-33073）是一种危险的反射攻击。攻击者操纵DNS记录，诱骗Windows将外部认证请求视为本地请求，从而绕过常规安全检查并获得SYSTEM级权限。据SecureList报告，乌兹别克斯坦金融行业检测到利用此漏洞的可疑活动。

Part04

防护策略与迁移建议

尽管微软已通过补丁修复这些漏洞，但企业网络中遗留协议的存在意味着攻击仍将持续。为保持与旧应用程序兼容而保留NTLM的组织尤其脆弱。安全团队应优先迁移至Kerberos协议，实施网络分段，并监控Windows基础设施中的可疑认证尝试。

参考来源：

Hackers Exploit NTLM Authentication Flaws to Target Windows Systems

https://cybersecuritynews.com/hackers-exploit-ntlm-authentication-flaws-to-target-windows-systems/