ISSコラム

CVE-2025-33073について

Windows SMBクライアントに存在する不適切なアクセス制御により、低い権限の攻撃者は権限をSYSTEM権限に昇格させ、任意のコードを実行することが可能になります。

本脆弱性の詳細情報や複数の攻撃ツールや概念実証 (PoC)がインターネット上で公開されており、悪用される可能性があるため、注意が必要となります。

実際の悪用

1.　攻撃者は、攻撃実施ホストから攻撃対象のWindowsホストの名前にBASE64エンコードされた不正な文字列を付加し、接続します。

攻撃対象ホスト名：client1

攻撃実施ホスト名：client11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA

2.　攻撃されたclient1ではCVE-2025-33073の影響によりclient11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAAからの接続にもかかわらずclient1（自分自身）からの接続と誤認識し、NTLMリフレクション防御をスキップし、自分自身へのサービス承認をActive Directoryサーバーに要求します。この要求は成功し、client1は認証されます（Service Ticketの受領）。

3.　client1はService Ticketを攻撃実施ホストに転送します（認証のリレー）。

4.　攻撃実施ホストでclient1から転送されてきたService Ticketを使用しclient1上でコマンドを実行します。その際SYSTEM権限で実行されます。

注：本脆弱性を悪用するには、攻撃者は事前に攻撃実施ホスト上でAD環境にログオン済みである必要があります。

影響範囲

本脆弱性の影響を受けるWindows OSのバージョンは以下のとおりです。

•Windows 10 22H2以前

•Windows 11 23H2以前

•Windows Server 2008/2012/2016/2019/2022/2025 (SMBサイニングが強制されていない)

推奨対策

・SMB署名やLDAP署名を強制することを設定する

・Microsoft社が2025年6月にリリースした緊急パッチを適用する

本コラムについて

インターネットセキュアサービス㈱（以下、ISS）が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。