Windows SMB クライアントの認証リフレクションを利用したサイバー攻撃の手法が発見される(CVE-2025-33073)|セキュリティニュース

投稿日時: 2025年06月17日更新日時: 2025年06月16日

2025年6月、Windows SMBクライアントに新たな脆弱性が発見され、大きな波紋を呼んでいます。脆弱性「CVE-2025-33073」は、特定の条件下で認証をローカルと誤認させることで、攻撃者がリモートからSYSTEM権限を奪取できるという深刻な内容です。

なお、CVE-2025-33073は既にMicrosoftの2025年6月の定例パッチで修正済みですので最新のバージョンへアップデートすれば対処できます。

認証リフレクションを利用したサイバー攻撃の手法の概要

この脆弱性は、NTLMリフレクション（反射認証）という古典的な攻撃手法を“ローカル認証のバイパス”という形で復活させたものです。

攻撃のきっかけは、PetitPotamなどのツールを使って、Windows内部のlsass.exeに強制的に認証要求を発生させること。通常は防がれるはずの自己認証が、DNS名の工夫により迂回され、SYSTEMトークンをそのままリレーできてしまいます。

特にSMB署名（SMB signing）が無効な環境では、攻撃の成功率が高くなります。

なお、この脆弱性を利用するための実証コード（PoC）もGitHubで公開されています

PoCではntlmrelayx.pyやkrbrelayx.pyといった既存ツールと組み合わせて、SYSTEM権限を獲得し、ローカルSAMハッシュの取得に成功する様子が再現されています。

一見NTLMの問題に見えますが、Kerberosでも同様の“反射”が可能であることが確認されています。

仕組みとしては、Kerberosの認証プロセスに含まれるKerbCreateSKeyEntryやKerbSKeyListといった内部データ構造を悪用し、SYSTEMトークンの生成に至るというもの。

これは設計的な不備に近く、「対象が自マシンであるかどうか」の判定にDNS名だけで誤判定が起きる点が、根本の問題とされています。

Microsoftはこの問題に対して、6月のパッチで修正を提供済みです。未対応の場合は速やかな適用が推奨されます。また、以下の対策が併せて重要です

参照