Microsoft Active Directory Domain Services Vulnerability Let Attackers Escalate Privileges
2026/03/11 CyberSecurityNews — 2026年3月10日 Patch Tuesday で、Active Directory Domain Services (AD DS) に存在する深刻な脆弱性 CVE-2026-25177 (CVSS:8.8:Important) が公開された。この脆弱性は、ファイル名およびリソース名に対する不適切な制限 (CWE-641) に起因し、認証済みのネットワーク攻撃者に権限昇格を許容するものである。
この攻撃は、ネットワーク経由で実行可能であり、必要な権限は最小限であり、攻撃の複雑性は低く、ユーザー操作は不要である。攻撃が成功すると、機密性/完全性/可用性のすべてに重大な影響が生じる可能性がある。
Active Directory Domain Services 脆弱性
攻撃者が特殊に細工された Unicode 文字を使用して、Service Principal Names (SPN) または User Principal Names (UPN) の重複を作成することで、この脆弱性は発動する。これらの Unicode 不可視文字により、重複を防止するための通常の Active Directory セキュリティ・チェックは回避される。攻撃を開始するために必要なものは、対象アカウントの SPN を書込/変更するための、標準的な権限のみである。
このようにして、クライアントが重複した SPN を持つ標的サービスに対して Kerberos 認証を要求すると、ドメイン・コントローラーは誤った鍵で暗号化されたチケットを発行する可能性がある。その結果、標的とされるサービスによりチケットが拒否され、サービス拒否 (DoS) が引き起こされる可能性がある。また、NTLM 認証が有効な場合には、より古く安全性の低い NTLM 認証へのフォールバックが発生する可能性がある。
この攻撃の成立において必要とされるのは、初期の SPN 書き込み権限だけであり、標的サーバへの直接アクセスは不要である。この脆弱性が悪用に成功した攻撃者は、完全な SYSTEM 権限を取得し、サーバおよび広範なドメイン環境の完全な支配を招く可能性がある。
Microsoft によると、現時点での CVE-2026-25177 の悪用可能性は “Less Likely” と評価されており、公開エクスプロイト・コードや、実環境での攻撃は確認されていない。この脆弱性に対処する公式セキュリティ更新は、Microsoft/Semperis の協調により公開された。ネットワーク管理者は、速やかにパッチを適用し、環境を保護する必要がある。
この更新は、Windows 10/Windows 11/Windows Server を含む幅広いオペレーティング・システムを対象としており、Windows Server 2012 〜 2025 の最新リリースまでを網羅している。また、Active Directory 環境において SPN の異常な変更を監視することも、有効な予防的防御策となる。
この脆弱性 CVE-2026-25177 の原因は、本来なら重複が許されない識別子である SPN や UPN が、特殊な Unicode 文字により偽装できてしまうところにあります。Active Directory のセキュリティ・チェックにおいて、これらの不可視文字が適切に処理されず、システムが “別物” として誤認してしまう隙を突かれる可能性があります。その結果として、認証の仕組みである Kerberos 認証が正常に機能しなくなり、意図しないサービス停止や、より安全性の低い認証方式への誘導を招く恐れがあります。ID 管理の根幹に関わる問題であり、文字の処理という基本的な制限の不備が、ドメイン全体の制御権という大きなリスクに繋がってしまいます。ご利用のチームは、ご注意ください。よろしければ、Microsoft AD DS での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.