發布編號：OIS-CTI-2026-01-004

情資來源：iThome、Cymulate、CyberSecurityNews、GBHackers

事件類型：漏洞警訊公告

內容說明：

資安業者 Cymulate 研究團隊揭露一種利用 DNS CNAME 別名記錄的 Kerberos 中繼攻擊手法。研究人員發現，Windows 在進行 Kerberos 服務驗證時，建構服務主體名稱（Service Principal Name，SPN）的流程會跟隨 DNS 回應的 CNAME 別名，並以別名主機名稱向票證授權服務（TGS）索取服務票證。若攻擊者能在網路路徑上攔截或竄改受害者的 DNS 查詢（透過 ARP 欺騙、DHCPv4 或 DHCPv6 投毒等手法取得中間人位置），就可能誘導用戶端替攻擊者指定的 SPN 索取票證，再將票證中繼到未強制簽章或未強制通道綁定權杖（Channel Binding Token，CBT）的服務，達到冒用使用者身分存取資源的效果。

此漏洞為 CVE-2026-20929，微軟將其歸類為「Windows HTTP.sys 權限提升漏洞」。該手法的風險在於降低了 Kerberos 中繼攻擊的既有限制。過去攻擊者往往難以左右用戶端會為哪一個 SPN 索取服務票證，但一旦能利用 DNS 的 CNAME 別名影響 SPN 的主機名稱部分，用戶端就可能在不知情的情況下，將取得的服務票證送往攻擊者控制的端點。與過去僅限於機器帳戶或需要特定條件的 Kerberos 中繼技術不同，此方法可在預設的 Windows 配置下，可靠地針對使用者帳戶進行攻擊，大幅擴展了 Active Directory 環境中憑證中繼攻擊的攻擊面。

 圖片來源：ithome

影響平台：

• Windows 10 / 11

• Windows Server 2016 / 2019 / 2022 / 2025

• 網域控制站（Domain Controller）不受影響

建議措施：

• 立即套用修補：安裝微軟 2026 年 1 月安全性更新（CVE-2026-20929）

• 強制 SMB 簽章：所有伺服器啟用 SMB Signing

• 強制 HTTP/HTTPS CBT：為 HTTP 類服務啟用通道綁定權杖

• 強制 LDAP 簽章：啟用 LDAP Signing 並搭配 LDAPS CBT

• 強化 DNS 安全：部署 DNSSEC，防止 DNS 欺騙

• 盤點未保護端點：檢視環境中未啟用簽章或 CBT 的服務並修正 

參考連結 ：

https://www.ithome.com.tw/news/173567

https://cymulate.com/blog/kerberos-authentication-relay-via-cname-abuse/

https://cybersecuritynews.com/kerberos-relay-attack-uses-dns-cname/

https://gbhackers.com/new-kerberos-relay-technique-exploits-dns-cnames-to-bypass-existing-defenses/