Microsoft Defender for Identity 漏洞可致未授权权限提升
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
NetSPI 研究人员发现 Microsoft Defender for Identity 存在漏洞(CVE-2025-26685),攻击者可通过伪装成目标系统来诱使 MDI 认证,从而截获 Net-NTLM 哈希值,实现权限提升。微软建议用户迁移至统一 XDR 传感器以避免此漏洞。
🎯
关键要点
- NetSPI 研究人员发现 Microsoft Defender for Identity 存在漏洞(CVE-2025-26685)。
- 该漏洞可使攻击者通过伪装成目标系统诱使 MDI 认证,从而截获 Net-NTLM 哈希值。
- 漏洞源于 MDI 传感器查询网络系统的方式,攻击者可操纵 SAM-R 协议。
- 认证过程使用 SAM-R 协议,导致域服务账户的 Net-NTLM 哈希值被截获。
- 攻击者可利用截获的哈希值进行离线破解或 NTLM 中继攻击,获取 Kerberos 票据。
- 成功利用此漏洞需满足攻击者系统在 DNS 中注册和触发特定 Windows 事件 ID。
- NetSPI 演示了如何结合 CVE-2025-26685 与已知 ADCS 漏洞实现权限提升。
- 微软建议用户迁移至统一 XDR 传感器以避免此漏洞,改用强制 Kerberos 认证的 WMI 查询。
- 其他防御措施包括将 DSA 配置为组托管服务账户和禁用 LMP 数据收集功能。
❓
延伸问答
Microsoft Defender for Identity 中的漏洞是什么?
该漏洞是 CVE-2025-26685,攻击者可通过伪装成目标系统诱使 MDI 认证,从而截获 Net-NTLM 哈希值,实现权限提升。
攻击者如何利用 Microsoft Defender for Identity 的漏洞?
攻击者通过操纵 SAM-R 协议,伪装成目标系统,诱使 MDI 向其发起认证,从而截获 Net-NTLM 哈希值。
微软对该漏洞有什么修复建议?
微软建议用户迁移至统一 XDR 传感器,以避免使用存在漏洞的 SAM-R 协议,并改用强制 Kerberos 认证的 WMI 查询。
成功利用此漏洞需要满足哪些条件?
攻击者系统必须在 DNS 中注册,并触发特定的 Windows 事件 ID,才能成功利用该漏洞。
该漏洞可能导致哪些安全风险?
攻击者可利用截获的 Net-NTLM 哈希值进行离线破解或 NTLM 中继攻击,获取 Kerberos 票据,进而实现权限提升。
除了迁移到统一 XDR 传感器,还有哪些防御措施?
其他防御措施包括将 DSA 配置为组托管服务账户和禁用 LMP 数据收集功能。
➡️
