Bypassing Windows authentication reflection mitigations for SYSTEM shells - Part 1

1 minute de lecture

Mis à jour : April 27, 2026

Contournement de la réflexion d’authentification Windows (CVE-2025-33073 & CVE-2026-24294)

L’article analyse les vulnérabilités de réflexion d’authentification sur Windows, initialement corrigées par Microsoft dans le cadre de la CVE-2025-33073. Cette vulnérabilité exploitait une technique appelée « CMTI » (CredMarshalTargetInfo) pour forcer des services privilégiés (comme LSASS) à s’authentifier auprès d’un serveur contrôlé, permettant ensuite de relayer cette authentification localement pour obtenir des privilèges NT AUTHORITY\SYSTEM.

Le correctif initial de Microsoft se limitant à filtrer les noms de cibles SMB contenant des données malformées, les chercheurs ont démontré qu’il était possible de contourner cette protection en exploitant une nouvelle fonctionnalité introduite dans Windows 11 (24H2) et Windows Server 2025 : la possibilité de spécifier un port TCP arbitraire pour les connexions SMB.

Points clés

Multiplexage SMB : Le protocole SMB permet de multiplexer plusieurs sessions authentifiées sur une seule et même connexion TCP.
Méthodologie de contournement : Les chercheurs ont utilisé une approche itérative consistant à isoler les mécanismes non couverts par le correctif (protocoles autres que SMB, nouvelles fonctionnalités système) pour forcer une authentification locale.
Exploitation du port arbitraire : En forçant une connexion SMB sur un port personnalisé, un attaquant peut maintenir une connexion active et y injecter ultérieurement l’authentification d’un service privilégié coercé (via des outils comme PetitPotam), qui est ensuite relayée localement.

Vulnérabilités

CVE-2025-33073 : Vulnérabilité initiale de réflexion d’authentification (CMTI).
CVE-2026-24294 : Élévation de privilèges locale (LPE) via l’abus de la connexion SMB sur port arbitraire.

Recommandations

Durcissement (Hardening) : Appliquer les mises à jour de sécurité cumulatives de Microsoft (Patch Tuesday).
Signature SMB : L’activation obligatoire de la signature SMB (SMB Signing) atténue cette attaque, comme constaté sur Windows 11 24H2 où l’exploit ne fonctionne pas par défaut contrairement à Windows Server 2025.
Surveillance : Porter une attention particulière aux connexions SMB sortantes inhabituelles ou initiées vers des ports non standards par des processus système.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Bypassing Windows authentication reflection mitigations for SYSTEM shells - Part 1

Contournement de la réflexion d’authentification Windows (CVE-2025-33073 & CVE-2026-24294)

Points clés

Vulnérabilités

Recommandations

Partager sur

Vous pourriez aimer

⚡ Weekly Recap: Fast16 Malware, XChat Launch, Federal Backdoor, AI Employee Tracking & More

Revue hebdomadaire : Menaces persistantes et nouvelles vulnérabilités

Webinar: Spotting cyberattacks before they begin

Anticiper les cyberattaques grâce au renseignement sur les menaces

TeamPCP Supply Chain Campaign: Update 008 - 26-Day Pause Ends with Three Concurrent Compromises (Checkmarx KICS, Bitwarden CLI Cascade, xinference PyPI), CanisterSprawl npm Worm Identified, and Tier 1 Coverage Returns, (Mon, Apr 27th)

Résurgence des attaques de la chaîne d’approvisionnement par TeamPCP

Researchers Uncover 73 Fake VS Code Extensions Delivering GlassWorm v2 Malware

Propagation de malwares via des extensions VS Code piégées