Microsoft Defender Spoofing Vulnerability Allows Privilege Escalation and AD Access
2025/06/13 CyberSecurityNews — Microsoft Defender for Identity (MDI) に存在する重大なスプーフィング脆弱性により、未認証の攻撃者が権限を昇格し、Active Directory (AD) 環境への不正アクセスを可能にするという。この脆弱性は CVE-2025-26685 として追跡されており、MDI センサーの Lateral Movement Paths (LMPs) 機能を悪用する攻撃者は、認証情報を取得し、組織全体のネットワークに対する侵害を引き起こす可能性を手にする。
Microsoft Defender におけるスプーフィングの脆弱性
NetSPI のセキュリティ研究者によると、この脆弱性により、ドメイン・コントローラー上にインストールされた MDI センサーが標的にされるという。MDI センサーは、ディレクトリ・サービス・アカウント (DSA) を用いて、各システムのローカル管理者グループのメンバーを照会し、Lateral Movement Paths (横方向移動パス) をマッピングする設計となっている。
ローカル・ネットワーク・アクセス権限を持つ未認証の攻撃者は、ドメイン・コントローラーとの接続を確立し、SAM-R プロトコル経由で MDI センサーに対して、攻撃者のシステムを照会させることが可能になる。この攻撃の過程では、認証方式が Kerberos から NTLM へとダウングレードされ、DSA の Net-NTLM ハッシュが、攻撃者によりキャプチャされる。
この脆弱性を悪用するには、2つの重要な条件を満たす必要がある。
- 攻撃者のシステムに対応する、DNS レコードが存在すること(Windows DHCP サーバーが AD 環境で使用されている場合、自動的に作成される)
- 攻撃者が匿名接続を確立し、特定の Windows イベント ID を生成すること
Linux システムでは rpcclient -U “” -N [DC-IP] などの、Windows システムでは net use \\[DC-IP]\ipc$ “” /user:”” などの簡易なコマンドで、この攻撃をトリガーできる。これらのコマンドにより、必要な Windows イベント ID を生成する SMB アノニマス・ヌルセッションが開始され、MDI センサーは攻撃者のシステムに対し認証を試み、LMP マッピングを実行するように促される。
Net-NTLM ハッシュを取得した攻撃者は、複数の権限昇格の経路を利用できる。たとえば、Hashcat などのツールを用いたパスワードのオフライン解析や、他の脆弱性と組み合わせた即時の権限昇格を実現が可能となる。NetSPI は、AD Certificate Services (ADCS) の ESC8 脆弱性と組み合わせた、危険な攻撃チェーンを実証している。この手法では、取得した認証データを証明書発行エンドポイントにリレーすることで、攻撃が成立するという。
例として、certipy relay -target ‘http://%5BADCS-CA%5D’ のような Certipy ツールを用いるコマンドにより、攻撃者は DSA のコンテキストで証明書を要求し、最終的にチケット・グラント・チケット (TGT) や NT ハッシュの取得に成功するかもしれない。
この攻撃は初期認証を必要とせず、ローカル・ネットワーク内からの完全な実行が可能なものである。一般的に見て、侵害された DSA アカウントは権限が限定的であるが、全 AD オブジェクトに対する読み取り権限や、SAM-R が有効化されている場合には、ローカル管理者グループの情報を照会する機能があるため、偵察フェーズにおいて極めて有用である。
緩和策
この脆弱性の悪用を検出する、複数の方法が存在する。その中でも、特に有効とされるのは、ドメイン・コントローラー以外の IP アドレスから発生した DSA アカウントによる、認証イベントの監視という方法である。本来の DSA アカウントは、ドメイン・コントローラーからMDI センサーを介してのみ、認証されるはずのものだからだ。
追加の検出手段としては、(objectCategory=pKIEnrollmentService) のような文字列を含む LDAP リクエストや、Windows イベント ID 4887 を使用する証明書発行イベントの、監視などが挙げられる。
Microsoft が推奨する主な是正措置は、統合型の XDR センサー (バージョン 3.x) への移行である。新しいセンサーは、異なる検出アプローチを採用しており、この攻撃ベクターに対して脆弱ではない。従来からの MDI センサーは、Kerberos 認証でロックされた WMI クエリへと、SAM-R クエリを置き換える予定である。
ユーザー組織に推奨されるのは、パスワード・クラッキングのリスクを低減するために、DSA アカウントを Group Managed Service Account (gMSA) としてコンフィグし、パスワードの推測困難度を高めることである。また、Microsoft サポートを通じて、Lateral Movement Paths (横方向移動パス) のデータ収集機能を完全に無効化することも、ユーザーに対して強く推奨される。
Defender for Identity のような防御ツールにも、スプーフィングの脆弱性が潜んでいるのですね。Net-NTLM のキャプチャが、未認証かつローカル・アクセスのみで成立してしまう流れは、攻撃者にとって効率が良すぎます。ご利用のチームは、ご注意ください。よろしければ、Defender で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.