TokyoBlackHatNews

gbhackers.com 5分で読了

Windows SMBクライアントの脆弱性により、組織がActive Directoryの完全侵害にさらされる

Windows Server Message Block(SMB)クライアント認証における深刻な脆弱性が明らかになり、Active Directory環境に対する重大な脅威として浮上しています。

NTLMリフレクション処理における論理的欠陥であるCVE-2025-33073により、認証済みの攻撃者はSYSTEMレベルの権限へ昇格し、ドメインコントローラーを侵害できるため、Active Directoryフォレスト全体を掌握される可能性があります。

項目   
CVE ID  CVE-2025-33073 
脆弱性タイトル  Windows SMBクライアント NTLMリフレクションによる権限昇格 
影響を受ける製品  Windows SMB(Server Message Block)クライアント 
脆弱性タイプ  CWE-284: 不適切なアクセス制御 
CVSS v3.1 スコア  8.8 

脆弱性の概要

Microsoftはこの脆弱性を「Windows SMBにおける不適切なアクセス制御」と説明しています。  しかし、セキュリティ研究者は、この脆弱性が当初の評価よりもはるかに危険であることを突き止めました。  

Image
CVE-2025-33073を用いたSMB->SMBリレーの成功例(出典:Depth Security)

この欠陥はNTLMのローカル認証メカニズムを悪用し、攻撃者が侵害済みマシンからの認証をSYSTEM権限のまま自分自身へリレーできるようにし、従来のSMB署名保護を回避します。

Image
GitHubのIssueスレッド抜粋(出典:Depth Security)

この脆弱性は、高度な資格情報強制(credential-coercion)手法を利用します。攻撃者は、特別に細工されたマーシャリング済みターゲット情報(例:srv1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA)を含むDNSレコードを登録し、PetitPotamなどの強制手法を用いて、マシンが攻撃者管理下のサーバーへ認証するよう強制します。  

ターゲットが細工されたDNS名を検出すると、Windows SMBクライアントライブラリはマーシャリング済み情報を取り除き、ホスト名(例:srv1)のみを残します。

その後SMBクライアントは、サーバーに対してローカルNTLM認証を実行するよう通知します。これにより重大な欠陥が発動します。LSASS(Local Security Authority Subsystem Service)がSYSTEMトークンを共有認証コンテキストへコピーしてしまうのです。  

攻撃者がこの認証をターゲットマシンへリレーすると、SMB署名を無効化する必要なくSYSTEM権限を継承できます。

攻撃が成立するのは、脆弱性が署名の強制ではなく、SMBクライアントの認証ネゴシエーション処理に存在するためです。  

SMB署名が有効なマシンであっても、プロトコル固有の認証処理を悪用する部分的なMessage Integrity Code(MIC)除去手法により、LDAP、LDAPS、その他プロトコルへのリレーが可能な場合があり、依然として脆弱です。

Image
認証バイパス(出典:Depth Security)

セキュリティ研究者は、CVE-2025-33073により、これまで不可能と考えられていたクロスプロトコル・リレー攻撃が可能になることを実証しました。

MICを保持したまま特定のNTLMSSPフラグ(Negotiate Sign、Negotiate Seal)を取り除くことで、攻撃者はSMB認証をドメインコントローラー上のLDAPおよびLDAPSサービスへリレーできます。

これにより攻撃者は、Active Directoryオブジェクトを直接改変し、侵害したアカウントを特権グループに追加したり、アクセス制御を変更したり、DCSync攻撃を実行して資格情報データベース全体を抽出したりできます。

この脆弱性はKerberosリフレクション攻撃にも及び、堅牢化された環境であっても複数の攻撃ベクトルを生み出します。

調査によれば、これらの手法はチャネルバインディングや署名が強制されている環境でも機能し、従来の防御策では不十分であることが示されています。 

公開から7か月が経過した現在も、多くの組織が影響を受けるシステムにパッチを適用できていません。ペネトレーションテスターは、ワークステーションからドメインコントローラー、Tier 0サーバーに至るまで、企業ネットワーク上で脆弱なホストを継続的に発見しています。  

悪用プロセスは容易で、ntlmrelayx.pyのような公開ツールに部分的MIC除去の改変を加えたものを用いることで、環境全体の完全侵害を自動的に実行できます。 

Depth Securityによると、即時の是正にはMicrosoftのセキュリティ更新プログラムを適用し、ドメイン参加しているすべてのシステムでSMB署名を例外なく強制することが必要です。  

また、組織はLDAPおよびLDAPSサービスでのチャネルバインディング強制を実装し、DNSレコード登録を管理者アカウントのみに制限し、ネットワークレベルの悪用ベクトルを防ぐためにブロードキャストドメインを分割する必要があります。

Image
署名ありでの「成功した」(実際には成功していない)SMB->SMBリレー(出典:Depth Security)

さらに、すべてのNetNTLMv1認証をブロックし、Kerberosのみを強制することで攻撃対象領域を縮小できます。  

ただし、適切な防御がなければKerberosリフレクション攻撃も重大なリスクとなる点に注意が必要です。 

この脆弱性は、単純な署名回避ではなく、NTLMリフレクション緩和策における根本的な欠陥を示すものであり、直ちに包括的な認証の堅牢化を最優先で実施する必要があります。 

翻訳元: https://gbhackers.com/windows-smb-client-vulnerability/

ソース: gbhackers.com
#Active Directory侵害 #CVE-2025-33073 #DCSync #LDAP/LDAPSリレー #NTLMリフレクション #NTLMリレー攻撃 #Windows SMBクライアント #ドメインコントローラー #パッチ適用と認証ハードニング #権限昇格

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚