ช่องโหว่ใน Microsoft Defender for Identity เสี่ยงถูกยกระดับสิทธิ์โดยไม่ต้องยืนยันตัวตน
เงื่อนไขที่จำเป็นสำหรับการโจมตีช่องโหว่ดังกล่าวให้สำเร็จประกอบด้วยสองประการหลัก ได้แก่:
- เครื่องของผู้โจมตีจะต้องได้รับการลงทะเบียนในระบบ DNS ซึ่งสามารถดำเนินการได้ทั้งในลักษณะแมนนวลหรือโดยอาศัยการบูรณาการกับบริการ Windows DHCP
- ผู้โจมตีต้องกระตุ้นให้เกิด Event ID เฉพาะในระบบปฏิบัติการ Windows โดยการเปิดเซสชันแบบ null connection ไปยัง Domain Controller
เมื่อเงื่อนไขทั้งสองข้อนี้ครบถ้วน ระบบจะทำให้เซ็นเซอร์ของ Microsoft Defender for Identity เชื่อมต่อกลับไปยังเครื่องของผู้โจมตีโดยอัตโนมัติ และส่งค่า Net-NTLM hash กลับไปยังผู้โจมตี ซึ่งสามารถนำไปใช้ประโยชน์ในกระบวนการโจมตีขั้นต่อไป เช่น การถอดรหัสแบบออฟไลน์หรือการโจมตีแบบ NTLM relay ได้
ผลกระทบจากช่องโหว่
ช่องโหว่ CVE-2025-26685 ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบ Active Directory โดยเปิดช่องให้ผู้โจมตีในเครือข่ายสามารถหลอกให้เซ็นเซอร์ของ Microsoft Defender for Identity เชื่อมต่อกลับมายังเครื่องของตนเพื่อดักจับ Net-NTLM hash ของบัญชีระบบ ซึ่งสามารถนำไปใช้โจมตีแบบ NTLM relay หรือผสานกับช่องโหว่ ADCS เพื่อยกระดับสิทธิ์โดยไม่ต้องยืนยันตัวตน อาจนำไปสู่การเข้าถึงข้อมูลสำคัญ การควบคุมโดเมน และการลอบใช้งานระบบ ส่งผลกระทบทั้งในด้านความลับ ความถูกต้อง และความพร้อมใช้งานของระบบองค์กร
คำแนะนำ
- ปิดการใช้งาน NTLM บนระบบที่สามารถใช้ Kerberos ได้
- ปิดการลงทะเบียน DNS อัตโนมัติจากเครื่องภายใน
- จัดตั้ง Group Policy เพื่อจำกัดสิทธิ์การเข้าถึง SAM-R ให้เฉพาะกลุ่มที่จำเป็นเท่านั้น
- ใช้ Group Managed Service Account สำหรับ DSA แทนบัญชีแบบธรรมดา เพื่อลดความเสี่ยงจากการดักจับและถอดรหัส Net-NTLM Hash
แหล่งอ้างอิง
