Windows SMB Client Vulnerability Enables Attacker to Own Active Directory
2025/01/19 CyberSecurityNews — Windows SMB クライアント認証における深刻な脆弱性を介したNTLM リフレクションの悪用により、Active Directory 環境が侵害される可能性がある。この脆弱性 CVE-2025-33073 は不適切なアクセス制御に分類され、ネットワーク接続上で精巧に構成された認証リレー攻撃を用いる認可済みの攻撃者に対して、権限昇格を許す可能性がある。2025年6月のセキュリティパッチ公開から、すでに 7ヶ月が経過しているが、エンタープライズ・インフラ全体で適用が進んでいない状況が確認されている。
脆弱なホストは、ドメインコントローラ/Tier Zero サーバ/ワークステーションに至るまで、ほぼ全てのペンテストで特定されている。この脆弱性により、Windows NTLM ローカル認証における基本的な仕組みの悪用が成立する。
ローカル認証用としてマークされた NTLM_CHALLENGE メッセージをクライアントが受信すると、システムはコンテキスト・オブジェクトを生成し、Reserved フィールドにコンテキスト ID を挿入する。
この仕組みが、PetitPotam/DFSCoerce/Printerbug といった強制手法と組み合わされることで、SYSTEM 権限で実行される “lsass.exe” により、攻撃者が制御するサーバに対する認証が強制される。
| Aspect | Details |
|---|---|
| CVE Identifier | CVE-2025-33073 |
| Vulnerability Type | NTLM Reflection / Privilege Escalation |
| Attack Vector | Network (Coercion + Authentication Relay) |
| Patch Release | June 2025 Windows Updates |
| Primary Impact | Complete Active Directory Compromise |
| Current Status | Widely unpatched in enterprise environments |
その後に、攻撃者のサーバは SYSTEM トークンを偽装して継続する処理を実行し、結果として完全なシステム侵害が成立する。
攻撃要件と悪用経路
この攻撃が成立する前提としては、AD DNS への悪意の DNS レコードの登録もしくは、ローカル・ネットワーク内での DNS ポイズニングの実行が必要となる。前者は、デフォルトで Authenticated Users に対して許可されている。
これらの操作は低権限で実行可能なため、Authenticated Users による AD DNS ゾーンへの任意レコード作成が、多くのユーザー組織で制限されていない現状では、攻撃面積が拡大してしまう。
従来の緩和策は、この高度な悪用手法に対して不十分である。SMB 署名は、通常のリレー攻撃を防止するが、署名およびチャネル・バインディングが有効な状態でも、SMB から LDAPS へのクロス・プロトコル・リレーが成功することが、研究により示されている。
このバイパス手法は、NTLMSSP フラグ (Negotiate Always Sign/Negotiate Seal/Negotiate Sign) を除去しながら、Message Integrity Code を保持することで成立する。この手法により、複数のセキュリティ制御が同時に回避されてしまう。
SMB 署名を超えた攻撃対象領域の拡大
本脆弱性の影響は、従来の SMB から SMB へのリレーに留まらない。DepthSecurity の研究者たちは、ADCS 登録サービス/MSSQL データベース/WinRM に対するクロス・プロトコル・リレー攻撃の成功を確認している。
特に深刻なのは、SMB から LDAPS へのリフレクション攻撃により、SYSTEM 権限で Active Directory オブジェクトを直接操作できる点である。これにより、グループ・メンバーシップの変更や DCSync による資格情報窃取が可能になる。
RPC ベースのリレー試行では、SMB 署名と同様のセッション・キー暗号化要件が確認されており、Windows 認証の基本設計が、この脆弱性の影響を増幅させていることが示されている。
現時点で示唆されるのは、RPC サービスへの認証には成功した攻撃が、その後の操作ではアクセス制御に阻まれる場合にも、Net-NTLMv1 認証を用いた追加的な悪用の経路が存在する可能性である。
DepthSecurity によると、ユーザー組織にとって必要なことは、2025年6月の Windows セキュリティ更新プログラムを最優先で適用することである。あわせて、SMB に限定せず、すべてのプロトコルで署名およびチャネル・バインディングの強制を有効化すべきである。
また、Active Directory DNS ゾーンの ACL を再コンフィグし、Authenticated Users による DNS レコード作成を制限することで、悪用の実現性を低減すべきである。
セキュリティ・チームは、NTLM 強制手法への迅速なパッチ適用を最優先事項とし、インフラ全体における NTLM リレー攻撃手法の包括的な監査を実施すべきである。
2025年6月にパッチが公開された脆弱性 CVE-2025-33073 であるが、現在も多くの企業環境で未対策のまま放置され、Active Directory (AD) 侵害の足掛かりとして悪用されているようです。この問題の本質は、Windows がローカル認証を行う際の、アクセス制御の不備にあります。攻撃者は PetitPotam などのツールを用いて、ドメイン・コントローラーなどの標的サーバに対して、攻撃者のサーバへ強制的に認証を行わせます。その際に、攻撃者は受け取った認証情報を、別のサービスである LDAPS/ADCS などへリレーします。通常、SMB 署名などの防御策がありますが、この脆弱性を突くことで、セキュリティ・フラグを巧妙に操作しながら署名検証をバイパスし、SYSTEM 権限での操作を成功させてしまいます。ご利用のチームは、ご注意ください。よろしければ、2025/06/12 の「Windows SMB Client のゼロデイ脆弱性 CVE-2025-33073 が FIX:Kerberos リレー攻撃とは?」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.