NetSPI 研究人員詳細(xì)披露了 Microsoft Defender for Identity（MDI）中的欺騙漏洞（CVE-2025-26685）。該漏洞雖無法單獨利用，但與其他漏洞結(jié)合時可能使攻擊者無需認(rèn)證即可在 Active Directory 環(huán)境中實現(xiàn)權(quán)限提升。

漏洞原理分析

該漏洞源于 MDI 傳感器（用于監(jiān)控橫向移動路徑）查詢網(wǎng)絡(luò)系統(tǒng)的方式。NetSPI 證實，具備網(wǎng)絡(luò)訪問權(quán)限的攻擊者可偽裝成目標(biāo)系統(tǒng)，操縱 SAM-R 協(xié)議，誘使 MDI 向攻擊者機(jī)器發(fā)起認(rèn)證。

研究指出："認(rèn)證過程使用 SAM-R 協(xié)議，可將認(rèn)證方式從 Kerberos 降級為 NTLM，導(dǎo)致域服務(wù)賬戶（DSA）的 Net-NTLM 哈希值被截獲。"

攻擊鏈實現(xiàn)

獲取 Net-NTLM 哈希值后，攻擊者可進(jìn)行離線破解或用于 NTLM 中繼攻擊，從而請求 Kerberos 票據(jù)授予票據(jù)（TGT），甚至通過 ADCS（Active Directory 證書服務(wù)）配置錯誤獲取證書。

成功利用此漏洞需滿足兩個前提條件：

• 攻擊者系統(tǒng)必須通過手動或 Windows DHCP 集成方式在 DNS 中注冊
• 攻擊者需通過向域控制器發(fā)起空會話連接來觸發(fā)特定 Windows 事件 ID（Event ID）

NetSPI 解釋稱："MDI 傳感器將向攻擊者系統(tǒng)進(jìn)行認(rèn)證，并通過查詢本地管理員組成員來嘗試映射本地管理路徑（LMP）。"

實際攻擊演示

實驗室測試中，NetSPI 使用 Impacket、Certipy 和 NetExec 等工具，將 CVE-2025-26685 與 ESC8 等已知 ADCS 漏洞結(jié)合實現(xiàn)權(quán)限提升。攻擊者通過中繼捕獲的哈希值，以 DSA 上下文請求證書，最終實現(xiàn)域級枚舉或操控。

微軟修復(fù)建議

微軟建議從傳統(tǒng) MDI 傳感器遷移至統(tǒng)一 XDR 傳感器（v3.x），該版本完全規(guī)避了存在漏洞的 SAM-R 協(xié)議。報告指出："傳統(tǒng) MDI 傳感器將不再使用 SAM-R 查詢，改為采用強(qiáng)制 Kerberos 認(rèn)證的 WMI 查詢。"

其他防御措施包括：

• 將 DSA 配置為組托管服務(wù)賬戶（gMSA）以降低離線破解風(fēng)險
• 如非業(yè)務(wù)必需，可通過微軟支持禁用 LMP 數(shù)據(jù)收集功能
• 監(jiān)控事件 ID 4624 及異常的 DSA 認(rèn)證來源