Windows認証リフレクションバイパスでSYSTEMシェル奪取が可能に

新たに公開された認証リフレクションバイパス技術により、完全にパッチが適用されたWindowsシステム上でNT AUTHORITY\SYSTEMの完全なシェルを取得することに研究者が成功しました。これにより、MicrosoftがCVE-2025-33073の脆弱性に対して講じた対策の根本的な欠陥が明らかになっています。

CVE-2025-33073はWindowsの深刻な認証リフレクション脆弱性であり、攻撃者が特権サービスに対して制御下のサーバーへの認証を強制し、その認証情報を同一マシンへリレーバックすることを可能にするものです。

Synacktivが記録したこの攻撃は、CMTI(CredMarshalTargetInfo)と呼ばれる技術を悪用します。CMTIは認証ターゲット名に、base64エンコードされた追加のターゲット情報を埋め込みます。

LSASSはNTLMまたはKerberos認証ブロブを構築する前にこのデータを除去するため、srv11UWhRC...のように細工されたDNSレコードがsrv1向けの認証を生成することになります。この挙動は、ローカルNTLMリフレクションやKerberosリレーに悪用可能です。

Microsoftのパッチは、SMBクライアントドライバー(mrxsmb.sys)を修正して、ターゲット情報が埋め込まれたターゲットへの接続を拒否するよう変更しました。しかしSynacktivの研究者たちはこれを不十分な修正と判断しており、根本原因ではなく症状にのみ対処したものだと指摘しています。

研究チームは体系的なバイパス手法を適用しました。パッチの適用範囲を完全に把握したうえで、修正で対処されていない攻撃シナリオを洗い出し、Windows 11またはServer 2025のデフォルト構成での動作、ユーザー操作不要、RCEまたはローカル権限昇格(LPE)の達成という厳格な基準に照らして各シナリオを評価するというものです。

パッチの対象がSMBクライアントのみであったため、他のプロトコルも検討されました。RPC/DCOMは、2022年10月以降パケット整合性の強制が必須となっているため、候補から除外されました。

WebDAV経由のHTTPも除外されました。サーバー上ではWebClientサービスがデフォルトで動作しておらず、また多くのWindowsのHTTPクライアントがターゲット名を小文字に変換するため、大文字・小文字を区別するbase64 CMTI技術が機能しないためです。

決定的な発見は、Windows 11 24H2およびWindows Server 2025で導入されたある機能に関するものでした。それは、任意のTCPポートでSMB共有に接続できる機能です。net use \\<IP>\share /tcpport:12345を使用することで、ドメインユーザーであれば誰でも非標準ポートへのSMB接続を確立できます。

重要な点として、MS-SMB2仕様では複数の認証済みセッションを1つのTCP接続上で多重化することが許可されており、WindowsのSMBクライアントは既存のTCP接続を再利用します。これにより、低権限ユーザーでも以下のことが可能となります:

この攻撃チェーンでは、Impacketのsmbserver.pyntlmrelayx.py、およびローカルLSASS認証を強制する改造版PetitPotam.exeが使用されました。

このバイパスにはCVE-2026-24294が割り当てられ、2026年3月のMicrosoftのPatch Tuesdayでパッチが適用されました。LPEシナリオはWindows Server 2025ではデフォルトで機能しますが、Windows 11 24H2ではSMB署名の強制によりブロックされます。

研究者たちはこれにより、自分たちの核心的な仮説が裏付けられたと述べています。すなわち、MicrosoftによるCVE-2025-33073への元のパッチは、根本原因に対処していなかったということです。

ローカル認証をリレーする機能は依然としてWindowsシステムを権限昇格のリスクにさらし続けており、DNSの制御を通じたKerberos認証リフレクションを標的とした第二の攻撃ベクターもすでに文書化されています。これはドメインユーザーによる完全なRCEプリミティブへと発展するものです。

翻訳元: https://cyberpress.org/windows-authentication-reflection-bypass-lets-attackers-gain-system-shells/

ソース: cyberpress.org