PoC Released for NTLM reflection bypass Vulnerability that Emanbles SYSTEM Access on Windows Server
2026/06/30 gbhackers — NTLM リフレクションの脆弱性 CVE-2025-33073 に対して Microsoft が実施した緩和策を回避し、Windows Server 上で NT AUTHORITY\SYSTEM への権限昇格を可能にする PoC が公開された。これにより、実用的なローカル権限昇格が引き起こされるため、脆弱なサーバ上でのリモート・コード実行 (RCE) を可能にする、連鎖攻撃のシナリオが成立する。

このエクスプロイトは、元のパッチで対処されなかった 2 つの構造的な弱点を悪用するものである。1 つは、緩和策が SMB クライアントパスに限定されていた点である。もう 1 つは、最近の SMB 機能により、攻撃者が特権サービスに対して、自身が制御する TCP 接続を介した認証を強制できる点である。
当初、脆弱性 CVE-2025-33073 を悪用する攻撃者は、DNS レコードの制御およびターゲット名の操作が可能な場合に、マシン名の後ろに Base64 エンコードされた追加のターゲット情報を付加できる状態にあった。
LSASS (Local Security Authority Subsystem Service) は、NTLM アクセス・ブロブまたは Kerberos ブロブを構築する前に、この追加データを削除するため、クライアントはマシン自体に対して認証することになる。
その結果として、攻撃者が制御するサーバは、生成された NTLM または Kerberos 認証情報をターゲットに対してリレーし、最終的に SYSTEM アカウントとして認証された SMB セッションを確立する。また、このほかの攻撃戦略として、CMTI 手法の代替手法を見つけ出し、任意のサービスに対して AP-REQ メッセージを受信させるアプローチも存在する。
Microsoft の修正は、SMB クライアント (mrxsmb.sys) において追加のターゲット情報を含む接続をブロックするものであったが、他のクライアント・プロトコルおよび SMB 固有の機能は未修正の状態で残された。Synacktiv によると、公開された PoC は Windows 11/Windows Server において、SMB 共有接続時に任意の TCP ポートを指定する機能を悪用している。
NTLM リフレクションに対する PoC を公開
攻撃は 2 段階で構成される。最初に攻撃者は、非標準ポートで待ち受けるローカル SMB サーバを構築し、標的マシンからの共有をマウントさせることで、Windows SMB クライアントが再利用可能な永続 TCP 接続 (SMB マルチプレキシング) を確立する。続いて、LSASS または別の SYSTEM プロセスに対して同一 UNC パスへのアクセスを強制し、既存の TCP 接続を再利用させる。
これにより、特権サービスの認証処理時に NTLM 認証情報が取得され、マシンの SMB サービスへリレーされるため、SYSTEM 権限での認証セッションおよびコマンド実行が可能となる。
この PoC チェーンを構成するのは、Impacket ベースの SMB サーバ (smbserver.py)/NTLM をローカル SMB 標的へリレーする ntlmrelayx/カスタム・ポートの共有をマウントする net.exe/ローカルの強制プリミティブ (改変された PetitPotam) といった一般的なツールである。
この手法はユーザー操作を必要とせず、Windows Server 2025 のデフォルト設定に対しても有効である。その一方で Windows 11 24H2 は、SMB 署名がデフォルトで強制されるため影響は限定される。
この回避手法は、2 つの重要な教訓を示している。
第 1 に、単一のプロトコル実装 (mrxsmb.sys) のみを修正しても、他プロトコルにおける認証強制や SMB マルチプレキシングおよびカスタムポート機能を考慮しなければ、構造的な攻撃対象領域が残る点である。
第 2 に、任意の SMB ポート指定やデフォルト接続再利用といった利便性の機能が、サービス強制プリミティブと組み合わされることで、リフレクション攻撃およびリレー攻撃の要因となり得る点である。
防御策として挙げられるのは、SMB 署名およびチャネル・バインディングの強制/不要な WebClient/WebDAV の無効化/Active Directory における DNS レコード作成権限の制限/特権サービスに対する厳格な外向き通信制御などである。管理者にとって必要なことは、Microsoft のアドバイザリおよび MSRC の公式情報を確認し、関連パッチを適用することである。
運用担当者は、SMB 署名および関連アップデートが未適用の Windows Server 2025 環境が、高リスク状態にあると想定すべきである。さらに、認証が露出するサービスの即時見直しと強化が推奨される。
訳者後書:脆弱性 CVE-2025-33073 の修正を回避する、手法について解説する記事です。問題の原因は、 Microsoft による最初の対策が、特定の SMB クライアントのみに限定されていた点にあります。他のプロトコルや機能が未修正であったことで、構造的な弱点が残ってしまいました。さらに、任意のポートを指定する機能や、接続を再利用する仕組みといった、利便性のための機能が組み合わされることで、攻撃者に特権サービスへの認証を強制する隙を与えてしまいました。このように、一つの経路を塞ぐだけでは別のルートから悪用されてしまう点が、今回の脆弱性対策における大きな課題となっています。ご利用のチームは、ご注意ください。


You must be logged in to post a comment.