(編集部註:本稿は全文 8,314 文字です)
◆概要
2025 年 6 月に、Microsoft Windows における管理者権限での遠隔からの任意のコード実行につながる脆弱性の情報が公開されています。攻撃者に脆弱性を悪用されると、管理者権限で侵入されてしまいます。セキュリティ更新プログラムの適用または設定の強化により対策してください。
◆分析者コメント
デフォルトの設定では、ドメインコントローラを除き、Active Directory ドメインに参加しているすべての端末への侵入が可能となる脆弱性であるため、間接的にドメインコントローラの制圧が可能となる可能性が高い脆弱性です。2014 年に公開された、任意の Golden Ticket が作成可能となる脆弱性 MS14-068(CVE-2014-6324)と同等のレベルの、Active Directory 史上最も注目度が高い脆弱性と言えます。Active Directory に参加している端末には、必ずセキュリティ更新プログラムを適用して対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
8.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-33073&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
2025 年 6 月分のセキュリティ更新プログラムを適用していないすべての Microsoft Windows OS が影響を受けると報告されています。
◆解説
Microsoft Windows OS に、Active Directory ドメイン環境での侵入範囲の拡大につながる脆弱性が報告されています。
脆弱性は、Windows OS の SMB 通信機能に存在します。Windows OS では、ホストから送信された NTLM 認証要求通信をそのホスト自身にリレーできる場合は SYSTEM 権限でのコード実行につながり、この手法は NTLM Reflection として知られています。NTLM Reflection は 2008 年に報告された脆弱性 MS08-068(CVE-2008-4037)で知られ、この種の攻撃につながる脆弱性は Microsoft により徹底的に修正されています。今回報告された CVE-2025-33073 は過去の修正を回避するものであり、攻撃者は Kerberos 認証通信を脆弱なホストにリレーすることで、NTLM Reflection と同等の攻撃が可能となります。よって、Active Directory ドメインに参加しているマシンへの侵入に成功した攻撃者は、当該脆弱性を悪用して、セキュリティ更新プログラムが適用されていないデフォルト設定のマシンへの管理者権限での侵入が可能になります。
◆対策
Microsoft が提供している 2025 年 6 月分のセキュリティ更新プログラムを適用してください。脆弱性の性質上、グループポリシーにより SMB 認証時の署名検証を有効化しても、脆弱性の悪用を防げます。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-33073
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-33073
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホストにて管理者権限で任意のコード実行を強制する手順が公開されています。
Synacktiv
https://www.synacktiv.com/en/publications/ntlm-reflection-is-dead-long-live-ntlm-reflection-an-in-depth-analysis-of-cve-2025
#--- で始まる行は執筆者によるコメントです。
◆概要
2025 年 6 月に、Microsoft Windows における管理者権限での遠隔からの任意のコード実行につながる脆弱性の情報が公開されています。攻撃者に脆弱性を悪用されると、管理者権限で侵入されてしまいます。セキュリティ更新プログラムの適用または設定の強化により対策してください。
◆分析者コメント
デフォルトの設定では、ドメインコントローラを除き、Active Directory ドメインに参加しているすべての端末への侵入が可能となる脆弱性であるため、間接的にドメインコントローラの制圧が可能となる可能性が高い脆弱性です。2014 年に公開された、任意の Golden Ticket が作成可能となる脆弱性 MS14-068(CVE-2014-6324)と同等のレベルの、Active Directory 史上最も注目度が高い脆弱性と言えます。Active Directory に参加している端末には、必ずセキュリティ更新プログラムを適用して対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
8.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-33073&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
2025 年 6 月分のセキュリティ更新プログラムを適用していないすべての Microsoft Windows OS が影響を受けると報告されています。
◆解説
Microsoft Windows OS に、Active Directory ドメイン環境での侵入範囲の拡大につながる脆弱性が報告されています。
脆弱性は、Windows OS の SMB 通信機能に存在します。Windows OS では、ホストから送信された NTLM 認証要求通信をそのホスト自身にリレーできる場合は SYSTEM 権限でのコード実行につながり、この手法は NTLM Reflection として知られています。NTLM Reflection は 2008 年に報告された脆弱性 MS08-068(CVE-2008-4037)で知られ、この種の攻撃につながる脆弱性は Microsoft により徹底的に修正されています。今回報告された CVE-2025-33073 は過去の修正を回避するものであり、攻撃者は Kerberos 認証通信を脆弱なホストにリレーすることで、NTLM Reflection と同等の攻撃が可能となります。よって、Active Directory ドメインに参加しているマシンへの侵入に成功した攻撃者は、当該脆弱性を悪用して、セキュリティ更新プログラムが適用されていないデフォルト設定のマシンへの管理者権限での侵入が可能になります。
◆対策
Microsoft が提供している 2025 年 6 月分のセキュリティ更新プログラムを適用してください。脆弱性の性質上、グループポリシーにより SMB 認証時の署名検証を有効化しても、脆弱性の悪用を防げます。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-33073
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-33073
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホストにて管理者権限で任意のコード実行を強制する手順が公開されています。
Synacktiv
https://www.synacktiv.com/en/publications/ntlm-reflection-is-dead-long-live-ntlm-reflection-an-in-depth-analysis-of-cve-2025
#--- で始まる行は執筆者によるコメントです。
