近期，多款Windows Active Directory（AD）域服务相关高危权限提升漏洞被披露，包括CVE-2025-33073、CVE-2022-26923等重点漏洞，涉及身份验证绕过、证书服务校验缺陷等核心安全问题。攻击者可利用普通域用户权限，通过构造恶意请求、伪造认证票据或滥用证书申请机制实现权限跃升，最终接管域控制器或控制全域主机，对企业内网安全构成致命威胁。为保障您的IT基础设施安全，现发布本应急通告。

　　一、漏洞核心风险与影响范围

　（一）关键漏洞危害

　　1. CVE-2025-33073：利用DNS投毒+NTLM认证反射机制，普通域用户可远程获取目标主机SYSTEM权限，90%企业默认未启用SMB签名的环境均存在风险，可直接导致横向渗透与全域沦陷。

　　2. CVE-2022-26923：AD CS证书服务校验缺陷，攻击者可篡改计算机账户属性假冒域控，申请高权限证书后提升至域管理员权限，影响所有部署AD CS服务的域环境。

　　3. Kerberos PAC验证漏洞：绕过身份验证伪造高权限TGT票据，无需复杂技术即可实现域内权限扩张与资源窃取。

　（二）受影响产品版本

　　覆盖Windows Server 2008至2025全系列域控制器版本，以及Windows 10/11客户端系统，包括Server Core等精简安装版本，部署AD CS服务、未强化SMB安全配置的企业环境风险最高。

　　二、应急修复与防护措施

　（一）优先安装安全补丁

　　立即为所有域控制器及域内主机安装对应补丁：CVE-2025-33073需安装2025年6月更新（KB5039211）；CVE-2022-26923需应用KB5008380及后续累积更新；Kerberos相关漏洞通过安装对应“补丁星期二”安全更新修复，补丁可通过Windows Update或微软官网获取。

　（二）核心安全配置加固

　　1. 强制启用SMB签名：通过组策略启用“Microsoft网络服务器: 对通信进行数字签名(始终)”，阻断NTLM中继攻击路径。

　　2. 强化AD CS安全：限制证书模板访问权限，禁用不必要的Machine/User证书模板，启用PAC签名验证功能。

　　3. 收缩攻击面：禁用Print Spooler等非必要RPC服务，限制DNS记录修改权限，阻断恶意记录注册。

　（三）监测与审计强化

　　1. 监控关键事件ID：重点审计4624（异常登录）、4688（可疑进程创建）及Kerberos TGT高频申请行为。

　　2. 网络层检测：拦截畸形DNS查询、未签名SMB会话及PetitPotam、ntlmrelayx等攻击工具特征流量。

　　3. 定期权限审计：清理冗余域用户权限，遵循最小权限原则，排查异常计算机账户属性修改记录。

　　三、注意事项

　　1. 补丁安装前需在测试环境验证兼容性，避免影响域服务正常运行；无临时缓解方案的漏洞需优先完成修复。

　　2. 已部署AD CS服务的企业，需额外检查证书申请日志，排查可疑证书颁发记录。

　　3. 若发现域内存在权限异常提升、不明进程执行等情况，立即隔离受影响主机，联系安全机构开展应急响应。

　　请各单位于7个工作日内完成全量域控制器及关键主机的漏洞修复与配置加固，持续关注微软官方安全公告，建立常态化补丁管理机制，防范内网全域沦陷风险。

　　特此通告。