Microsoft Defender for Identity 漏洞可致未授权权限提升

发布时间：2025-12-07 20:43:42 作者：玩站小弟

NetSPI 研究人员详细披露了 Microsoft Defender for IdentityMDI）中的欺骗漏洞CVE-2025-26685）。该漏洞虽无法单独利用，但与其他漏洞结合时可能使攻击者。

NetSPI 研究人员详细披露了 Microsoft Defender for Identity（MDI）中的漏洞欺骗漏洞（CVE-2025-26685）。该漏洞虽无法单独利用，未授但与其他漏洞结合时可能使攻击者无需认证即可在 Active Directory 环境中实现权限提升。权权

漏洞原理分析

该漏洞源于 MDI 传感器（用于监控横向移动路径）查询网络系统的限提方式。NetSPI 证实，模板下载漏洞具备网络访问权限的未授攻击者可伪装成目标系统，操纵 SAM-R 协议，权权诱使 MDI 向攻击者机器发起认证。限提

研究指出："认证过程使用 SAM-R 协议，漏洞可将认证方式从 Kerberos 降级为 NTLM ，香港云服务器未授导致域服务账户（DSA）的权权 Net-NTLM 哈希值被截获。"

攻击链实现

获取 Net-NTLM 哈希值后，限提攻击者可进行离线破解或用于 NTLM 中继攻击，漏洞从而请求 Kerberos 票据授予票据（TGT），未授甚至通过 ADCS（Active Directory 证书服务）配置错误获取证书。亿华云权权

成功利用此漏洞需满足两个前提条件：

攻击者系统必须通过手动或 Windows DHCP 集成方式在 DNS 中注册攻击者需通过向域控制器发起空会话连接来触发特定 Windows 事件 ID（Event ID）

NetSPI 解释称："MDI 传感器将向攻击者系统进行认证，并通过查询本地管理员组成员来尝试映射本地管理路径（LMP）。"

实际攻击演示

实验室测试中，NetSPI 使用 Impacket 、Certipy 和 NetExec 等工具，将 CVE-2025-26685 与 ESC8 等已知 ADCS 漏洞结合实现权限提升。源码库攻击者通过中继捕获的哈希值，以 DSA 上下文请求证书，最终实现域级枚举或操控。

微软修复建议

微软建议从传统 MDI 传感器迁移至统一 XDR 传感器（v3.x），该版本完全规避了存在漏洞的服务器租用 SAM-R 协议。报告指出："传统 MDI 传感器将不再使用 SAM-R 查询，改为采用强制 Kerberos 认证的 WMI 查询。"

其他防御措施包括：

将 DSA 配置为组托管服务账户（gMSA）以降低离线破解风险如非业务必需，可通过微软支持禁用 LMP 数据收集功能监控事件 ID 4624 及异常的建站模板 DSA 认证来源

Tag：

采用GPT革新网络安全：GPT对各种攻击的潜在影响
网络安全领域正在快速发展，以应对不断扩大的潜在威胁。在过去的十年中，随着恶意软件演变成间谍软件，随后又演变成勒索软件，那些负责保护企业免受网络攻击的安全人员被迫跟上其发展步伐。随着每一次新的迭代，网络
2025-12-07
win10下载iso后exe的作用是什么
很多下载了win10系统的小伙伴发现，下载解压官方原版的Win10操作系统ISO文件后，大家会看到两个setup.exe安装程序，这两个文件的作用是什么，该如何使用呢?其实主要是运行sources文件
2025-12-07
win10安全更新出现了什么问题
现在跟多微软用户在win7系统停止更新之后都更新升级了win10操作系统。那么据小编得到的最新消息，微软公司在最近更新的一次win10系统版本中就出现了bug，就是系统无法安装安全更新。那么对于这个问
2025-12-07
电脑怎么更改文件类型
很多小伙伴在日常使用电脑的时候，发现文件都有一个格式，比如JPG、MP3等等格式，每个格式都代表不一样文件类型，那么我们该如何更改文件类型的后缀呢?比如把JPG更改为MP3，只要在电脑里设置不隐藏文件
2025-12-07
世界十大暗网深网论坛巡礼
暗网中有无数的论坛，这些论坛始终都是网络犯罪活动的中心。黑客和攻击者都在这些论坛上聚集，被窃数据、黑客工具和非法服务在这里进行交易。从互联网的最深处，分析人员凝练了十大暗网/深网论坛。通过这些隐秘的论
2025-12-07
win10 0x80070035找不到网络路径
很多小伙伴连接win10电脑网络的时候，无法访问局域网，系统提示0x80070035找不到网络路径，这是怎么一回事呢?其实电脑网络问题一般可以重启电脑试试，这是最简单的方法，如果不行，我们可以更改一下
2025-12-07