TokyoBlackHatNews

gbhackers.com 4分で読了

Windows ServerでSYSTEMアクセスを可能にするNTLMリフレクションバイパス脆弱性のPoC公開

CVE-2025-33073として追跡されているNTLMリフレクション脆弱性に対するMicrosoftの緩和策を回避し、Windows Server上でNT AUTHORITY\SYSTEMへの権限昇格を可能にするProof-of-Concept(PoC)が公開されました。

このエクスプロイトは、オリジナルのパッチで対処されなかった2つの根本的な弱点を悪用しています。緩和策がSMBクライアントのパスに限定されていたこと、そして最新のSMB機能によって攻撃者が特権サービスを攻撃者の制御下にあるTCP接続で認証させられるという点です。

その結果、実用的なローカル権限昇格が可能となり、チェーン攻撃のシナリオでは脆弱なサーバー上でのリモートコマンド実行も実現します。

CVE-2025-33073は当初、DNSレコードを制御するか、その他の方法でターゲット名に影響を与えられる攻撃者が、マシン名の後にBase64エンコードされた「追加ターゲット情報」を付加することを可能にするものでした。

LSASSはNTLMアクセスやKerberosブロブを構築する前にその余分なデータを除去するため、クライアントはまるでマシン自体に対して認証しているかのように処理されます。NTLMアクセスの構築に際してこの動作が利用されます。

その認証を受け取った攻撃者制御のサーバーは、得られたNTLMまたはKerberos情報をターゲットにリレーし、SYSTEMアカウントとして認証済みSMBセッションを確立することができます。

もう一つの明白な攻撃戦略は、CMTIテクニックに代わる手法を見つけることです。それにより、任意のサービスに対する
AP-REQメッセージを受信できるようになります。

Image

Microsoftの修正はSMBクライアント(mrxsmb.sys)において追加ターゲット情報を含むターゲットをブロックするものでしたが、他のクライアントプロトコルやSMB固有の機能には手が加えられていませんでした。

NTLMリフレクションに対するPoCの公開

Synacktivの報告によると、公開されたPoCはWindows 11/Windows ServerがSMB共有接続時に任意のTCPポートを指定できる機能を悪用するものです。この手法は2段階で進行します。

まず、攻撃者は非標準ポートでリッスンするローカルSMBサーバーを構築し、ターゲットマシンからそのサーバーの共有をマウントします。

これにより、Windows SMBクライアントが再利用する持続的なTCP接続が確立されます(SMBマルチプレクシング)。次に、攻撃者は特権サービス(LSASSまたは別のSYSTEMプロセス)に同じUNCパスへアクセスさせ、クライアントが以前に開いたTCP接続を再利用するよう誘導します。

Image

特権サービスが認証すると、そのNTLM認証情報がキャプチャされ、マシンの実際のSMBサービスにリレーされます。これによりSYSTEMとして認証済みセッションが得られ、コマンドの実行が可能となります。

PoCチェーンでは、一般的なツールに小規模な変更を加えて使用しています。カスタムポートでの動作と認証ブロブの解析に対応したImpacketベースのSMBサーバー(smbserver.py)、ローカルSMBターゲットへのNTLMリレーを行うntlmrelayx、カスタムポートの共有をマウントするnet.exe、そしてローカルの強制プリミティブ(改造版PetitPotam)が含まれます。

この手法はユーザーの操作を必要とせず、Windows Server 2025のデフォルト構成に対して有効です。Windows 11 24H2ではデフォルトでSMB署名が強制されるため、影響は比較的軽微です。

このバイパスは2つの重要な教訓を示しています。第一に、他のプロトコルがどのように認証を強制するか、あるいはSMBマルチプレクシングやカスタムポート機能がどのように利用されるかに対処せずに、単一のプロトコル実装(mrxsmb.sys)だけをパッチしても、構造的な攻撃面が残ってしまいます。

第二に、利便性のために設計された機能(任意のSMBポートやデフォルトの接続再利用)は、サービス強制プリミティブと組み合わさることで、リフレクション攻撃やリレー攻撃の手段になり得ます。

オリジナルのパッチを超えた防御策としては、SMB署名とチャネルバインディングの強制、不要な場合のWebClient/WebDAV無効化、Active DirectoryにおけるDNSレコード作成権限の制限、特権サービスに対する厳格なアウトバウンド接続制御の適用などが挙げられます。

管理者はMicrosoftのセキュリティアドバイザリを確認し、関連する問題に対するパッチを適用してください。MicrosoftのガイダンスおよびアップデートについてはCVE-2025-33073の公式MSRCエントリをご参照ください:https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2025-33073

SMB署名とMicrosoftの関連アップデートが適用されていない限り、Windows Server 2025のマシンは高リスク状態にあると考えてください。認証に関連するサービスの即時見直しと堅牢化が強く推奨されます。

翻訳元: https://gbhackers.com/poc-released-for-ntlm-reflection/

ソース: gbhackers.com
#CVE-2025-33073 #Microsoft #NTLM #PoC #SMB #Windows Server #セキュリティパッチ #リフレクション攻撃 #権限昇格 #脆弱性

関連記事

重大な脆弱性がProgress Kemp LoadMasterに発覚 — 認証不要のリモートコード実行が可能に

BingのSEOポイズニングを起点にBumbleBeeとAdaptixC2がAkiraランサムウェアを展開

AirDropおよびQuick Shareに複数の脆弱性――攻撃者によるデバイスクラッシュが可能に