WindowsのKerberos認証に存在する重大な脆弱性により、攻撃者はDNSのCNAMEレコードを操作して資格情報リレー攻撃を実行し、従来のセキュリティ制御を回避し、企業ネットワーク内でのラテラルムーブメントを容易にできます。
CVE-2026-20929として追跡されているこの欠陥により、脅威アクターは被害者に攻撃者が管理するシステム向けのKerberosサービスチケットを要求させることができ、NTLM認証が完全に無効化されている場合でも悪用の道が開かれます。
この脆弱性は、サービス認証時にWindows KerberosクライアントがDNS CNAMEレコードを処理する方法を悪用します。システムがサービスに接続すると、DNS解決を実行します。
攻撃者がこのクエリを傍受し、攻撃者が選んだホスト名を指す悪意のあるCNAMEレコードと、攻撃者のIPアドレスを含むAレコードを返すと、Windowsクライアントは元のサービスではなく攻撃者のSPNを用いてチケット発行サービス(TGS)要求を構築します。
このCNAMEベースの手法は、マシンアカウントや特定の構成に限定されていた従来のKerberosリレー手法とは根本的に異なります。
新しいアプローチにより、Windows 10、Windows 11、Windows Server 2022、Windows Server 2025を含む既定のWindowsインストール全体で、サービスプリンシパル名(SPN)の選択を攻撃者がオンデマンドで制御できるようになります。
悪用には2つの条件が必要です。DNSトラフィックを傍受するための中間者(MITM)ポジションと、メッセージ署名またはチャネルバインディングトークン(CBT)を強制せずにKerberos認証を受け入れる対象サービスです。
攻撃者は、ARPポイズニング、悪意のあるDNSサーバーアドレスを注入するためのDHCPv4ポイズニング、またはMITM6手法を用いたDHCPv6ポイズニングによってネットワーク上の位置取りを達成できます。
調査により、多くのWindowsサービスが、サービスプレフィックスに関係なく、SPNのホスト名部分のみに基づいてTGSチケットを受け入れることが明らかになりました。
SMBサービスはHTTPプレフィックスのチケットを受け入れ、HTTPエンドポイントはCIFSプレフィックスのチケットを受け入れます。
このクロスプロトコルでの受け入れにより悪用機会が劇的に拡大し、攻撃者はHTTP認証をSMBサービスへリレーしたり、証明書窃取のためにActive Directory Certificate ServicesのWeb登録インターフェースを標的にしたりできます。
Microsoftは、2025年10月の責任ある開示を受けてこの挙動を確認しました。MicrosoftはCNAME追従の挙動を変更するのではなく、2026年1月のセキュリティ更新で、サポート対象のWindows Server各バージョンにおけるHTTP.sysのチャネルバインディングトークン対応を実装しました。しかし、根本となるCNAME操作の可能性は変更されていません。
セキュリティ専門家は、Kerberos自体ではリレー攻撃を防げず、保護は個々のサービスレベルで強制されなければならないと強調しています。
組織は、この重大な脅威を軽減するために、SMB署名の強制を優先し、すべてのHTTPサービスでCBTを必須化し、CBT付きのLDAP署名を要求し、DNSインフラを強化し、異常なTGS要求を監視する実装を行う必要があります。
翻訳元: https://cyberpress.org/poc-for-kerberos-relay-attack/