在当今数字化的时代，网络安全成为企业和个人的重中之重。随着技术的不断进步和创新，安全威胁也在不断演变，确保系统的完整性和数据的安全变得愈加复杂。最近，NetSPI的一组研究人员发现了Microsoft Defender for Identity（MDI）中的一个令人担忧的安全漏洞（CVE-2025-26685），该漏洞允许恶意用户在没有身份验证的情况下，在Active Directory（AD）环境中实现未授权的权限提升。这不是一个孤立的事件，而是一个揭示了当前网络安全措施不足的新标志。

CVE-2025-26685漏洞的根本原因在于MDI传感器的一个设计缺陷。MDI传感器负责监测网络中的横向移动路径，确保安全访问。然而，研究表明，具备网络访问权限的攻击者可以利用此漏洞，伪装成目标系统，并操控SAM-R协议，诱使MDI向攻击者的机器发起认证请求。这种行为最终使攻击者能够在没有实际身份验证的情况下，进行权限提升，实际上为恶意活动打开了大门。

这种认证过程的关键在于使用SAM-R协议，它将正常的Kerberos身份验证降级为NTLM。在这一过程中，域服务账户（DSA）的Net-NTLM哈希值被截获，一旦攻击者获取到这些哈希值，就能进一步进行离线破解或者实施NTLM中继攻击，从而请求获取Kerberos的票据授予票证（TGT）。这种情况下，攻击者甚至可能利用ADCS（Active Directory证书服务）的配置错误，获取不当证书。

成功利用此漏洞的条件并不复杂。首先，攻击者需要在DNS中注册其系统，可以是通过手动方式或Windows DHCP集成方式。其次，攻击者需要通过向域控制器发起空会话连接，引发特定的Windows事件ID（Event ID）。这些前提条件表明，攻击者只需有限的介入，就能实现对系统的进一步掌控。

在实验室的测试过程中，NetSPI团队采用了包括Impacket、Certipy和NetExec在内的多种工具，将CVE-2025-26685与其他已知的ADCS漏洞结合来实现权限提升。通过中继和捕获的哈希值，攻击者可以以DSA的上下文请求证书，这一过程可导致在域中不得不加以枚举或操控。此漏洞的侵害性在于，攻击者在完全未被发现的情况下，便能窃取和操控关键的系统认证信息。

为应对这一漏洞的影响，微软建议用户从传统的MDI传感器迁移至更现代的统一XDR传感器（v3.x）版本，这一版本有效绕过了脆弱的SAM-R协议，而是采用了加强的Kerberos认证的WMI查询。报告特别指出，传统的MDI传感器将在今后不再支持SAM-R查询，这标志着微软对系统安全性的重视和改进。

此外，微软还提出了一系列补救措施，以帮助用户降低成功攻击的风险。首先，他们建议将DSA配置为组托管服务账户（gMSA），以降低离线破解的可能性。其次，如果条件允许，可以通过微软支持禁用LMP数据收集功能，从而减少攻击面。最后，建议监控事件ID 4624及任何异常的DSA认证来源，这将有助于及早发现潜在的安全事件。

这一事件突显了在网络安全领域，及时发现和修复漏洞的重要性。虽然技术的不断发展为我们的生活带来便利，但其背后的安全风险却也同样不容小觑。随着攻击手段的日益复杂和攻击者的技术日趋成熟，企业和个人必须加倍警惕，审慎管理自身的网络安全风险。

尽管《Microsoft Defender for Identity》的这一漏洞是在一个特定上下文中被发现的，但其给整个网络安全生态系统带来的警示是显而易见的。网络安全不仅仅是技术问题，更涉及到企业治理、合规性和用户教育等多个方面。为了有效保障信息系统的安全，企业需要持续投入资源进行漏洞检测、人员培训和应急响应机制的建立。

在信息安全的战场上，唯有不断学习和适应，才能保持领先。正如一位网络安全专家所言：“安全不是一个目标，而是一个持续的过程。”因此，无论是企业还是个人，每一个网络用户都应提高自己的安全意识，积极参与到安全生态的建设中来。

在这样一个数字化日益加深的时代，保持对网络安全动态的关注，以便及时发现潜在风险，维持信息安全的稳定性与可靠性，是每一个网络使用者的责任。只有这样，我们才能在这个互联的世界中，既汲取技术带来的便利，同时又不被其潜藏的危险所侵扰。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课