Microsoft Defender for Identity 漏洞可致未授权权限提升
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
NetSPI 研究人员发现 Microsoft Defender for Identity 存在漏洞(CVE-2025-26685),攻击者可通过伪装成目标系统来诱使 MDI 认证,从而截获 Net-NTLM 哈希值,实现权限提升。微软建议用户迁移至统一 XDR 传感器以避免此漏洞。
🎯
关键要点
- NetSPI 研究人员发现 Microsoft Defender for Identity 存在漏洞(CVE-2025-26685)。
- 该漏洞可使攻击者通过伪装成目标系统诱使 MDI 认证,从而截获 Net-NTLM 哈希值。
- 漏洞源于 MDI 传感器查询网络系统的方式,攻击者可操纵 SAM-R 协议。
- 认证过程使用 SAM-R 协议,导致域服务账户的 Net-NTLM 哈希值被截获。
- 攻击者可利用截获的哈希值进行离线破解或 NTLM 中继攻击,获取 Kerberos 票据。
- 成功利用此漏洞需满足攻击者系统在 DNS 中注册和触发特定 Windows 事件 ID。
- NetSPI 演示了如何结合 CVE-2025-26685 与已知 ADCS 漏洞实现权限提升。
- 微软建议用户迁移至统一 XDR 传感器以避免此漏洞,改用强制 Kerberos 认证的 WMI 查询。
- 其他防御措施包括将 DSA 配置为组托管服务账户和禁用 LMP 数据收集功能。
➡️
