更多全球网络安全资讯尽在邑安全
NetSPI 研究人员详细披露了 Microsoft Defender for Identity(MDI)中的欺骗漏洞(CVE-2025-26685)。该漏洞虽无法单独利用,但与其他漏洞结合时可能使攻击者无需认证即可在 Active Directory 环境中实现权限提升。
漏洞原理分析
该漏洞源于 MDI 传感器(用于监控横向移动路径)查询网络系统的方式。NetSPI 证实,具备网络访问权限的攻击者可伪装成目标系统,操纵 SAM-R 协议,诱使 MDI 向攻击者机器发起认证。
研究指出:"认证过程使用 SAM-R 协议,可将认证方式从 Kerberos 降级为 NTLM,导致域服务账户(DSA)的 Net-NTLM 哈希值被截获。"
攻击链实现
获取 Net-NTLM 哈希值后,攻击者可进行离线破解或用于 NTLM 中继攻击,从而请求 Kerberos 票据授予票据(TGT),甚至通过 ADCS(Active Directory 证书服务)配置错误获取证书。
成功利用此漏洞需满足两个前提条件:
-
攻击者系统必须通过手动或 Windows DHCP 集成方式在 DNS 中注册
-
攻击者需通过向域控制器发起空会话连接来触发特定 Windows 事件 ID(Event ID)
NetSPI 解释称:"MDI 传感器将向攻击者系统进行认证,并通过查询本地管理员组成员来尝试映射本地管理路径(LMP)。"
实际攻击演示
实验室测试中,NetSPI 使用 Impacket、Certipy 和 NetExec 等工具,将 CVE-2025-26685 与 ESC8 等已知 ADCS 漏洞结合实现权限提升。攻击者通过中继捕获的哈希值,以 DSA 上下文请求证书,最终实现域级枚举或操控。
微软修复建议
微软建议从传统 MDI 传感器迁移至统一 XDR 传感器(v3.x),该版本完全规避了存在漏洞的 SAM-R 协议。报告指出:"传统 MDI 传感器将不再使用 SAM-R 查询,改为采用强制 Kerberos 认证的 WMI 查询。"
其他防御措施包括:
将 DSA 配置为组托管服务账户(gMSA)以降低离线破解风险
如非业务必需,可通过微软支持禁用 LMP 数据收集功能
监控事件 ID 4624 及异常的 DSA 认证来源
原文来自: securityonline.info
原文链接: https://securityonline.info/microsoft-defender-for-identity-flaw-cve-2025-26685-allows-unauthenticated-privilege-escalation/
原文始发于微信公众号(邑安全):Microsoft Defender for Identity 漏洞可致未授权权限提升
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论