Cybersec News

CyberSec

ช่องโหว่ Windows SMB Client เปิดทางให้ผู้โจมตีเข้าควบคุม Active Directory ได้

ByContent Creater

Jan 19, 2026

     

พบช่องโหว่ร้ายแรง (Critical Vulnerability) ในการรับรองความถูกต้องของไคลเอนต์ Windows SMB (CVE-2025-33073) ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์ในสภาพแวดล้อม Active Directory ผ่านการโจมตีแบบ NTLM Reflection ได้ ช่องโหว่นี้จัดอยู่ในประเภทการควบคุมการเข้าถึงที่ไม่เหมาะสม (improper access control) ซึ่งช่วยให้ผู้โจมตีที่ได้รับอนุญาตสามารถยกระดับสิทธิ์ผ่านการโจมตีแบบ authentication relay ที่ถูกจัดฉากอย่างระมัดระวังผ่านการเชื่อมต่อเครือข่าย บทความระบุว่า แม้จะมีการปล่อยแพตช์ความปลอดภัยในเดือนมิถุนายน 2025 แต่การนำไปใช้งานยังไม่แพร่หลายในโครงสร้างพื้นฐานขององค์กร ทำให้ระบบยังคงมีความเสี่ยงสูง

     

Severity: วิกฤต

      
     

System Impact:

     

  • Windows SMB client
  • Active Directory environments
  • Domain controllers
  • Tier-zero servers
  • Workstations
  • ADCS enrollment services
  • MSSQL databases
  • WinRMS

      
     

Technical Attack Steps:

     

  1. ผู้โจมตีต้องลงทะเบียนเรคคอร์ด DNS ที่เป็นอันตรายใน AD DNS (ซึ่ง Authenticated Users สามารถทำได้ตามค่าเริ่มต้น) หรือทำการ DNS poisoning ภายในเครือข่ายท้องถิ่น
  2. ใช้เทคนิคการบังคับ (coercion techniques) เช่น PetitPotam, DFSCoerce และ Printerbug เพื่อบังคับให้ lsass.exe (ที่ทำงานในฐานะ SYSTEM) ตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
  3. เมื่อไคลเอนต์ได้รับข้อความ NTLM_CHALLENGE ที่ระบุสำหรับการตรวจสอบสิทธิ์ในเครื่อง ระบบจะสร้างอ็อบเจกต์บริบทและแทรก ID บริบทเข้าไปในฟิลด์ Reserved
  4. ผู้โจมตีดำเนินการโจมตี NTLM relay ข้ามโปรโตคอล (เช่น SMB ไปยัง LDAPS) โดยข้ามผ่าน SMB signing ด้วยการถอดแฟล็ก NTLMSSP ที่เฉพาะเจาะจง (Negotiate Always Sign, Negotiate Seal, Negotiate Sign) ในขณะที่ยังคงรักษา Message Integrity Code ไว้
  5. เซิร์ฟเวอร์จะปลอมแปลงโทเค็น SYSTEM สำหรับการดำเนินการต่อมา ซึ่งทำให้สามารถเข้าถึงระบบได้อย่างสมบูรณ์
  6. การโจมตีนี้ยังอนุญาตให้ผู้โจมตีจัดการอ็อบเจกต์ Active Directory ด้วยสิทธิ์ SYSTEM โดยตรง รวมถึงการแก้ไขการเป็นสมาชิกกลุ่มและการเก็บรวบรวมข้อมูลประจำตัวผ่านการดำเนินการ DCSync

      
     

Recommendations:

     

Short Term:

     

  • ดำเนินการอัปเดตความปลอดภัยของ Windows ประจำเดือนมิถุนายน 2025 โดยทันที
  • เปิดใช้งานการบังคับใช้ SMB signing และ channel binding สำหรับทุกโปรโตคอล ไม่จำกัดเฉพาะ SMB

     

Long Term:

     

  • ปรับการกำหนดค่า ACL ของโซน Active Directory DNS เพื่อจำกัดไม่ให้ Authenticated Users สร้างเรคคอร์ด DNS
  • ดำเนินการตรวจสอบอย่างละเอียดเกี่ยวกับวิธีการโจมตีแบบ NTLM relay ทั่วทั้งโครงสร้างพื้นฐาน

      
     

Source: https://cybersecuritynews.com/windows-smb-client-vulnerability/

   

Share this content:

By Content Creater

Related Post

CyberSec

New Malware Campaign ‘CRESCENTHARVEST’ Exploits Iran Protest Sentiment to Deploy Information-Stealing RAT

Feb 18, 2026 Content Creater
CyberSec

Cybercriminals Leverage Atlassian Cloud for Spam Campaigns Redirecting Targets to Fraudulent Investment Schemes

Feb 18, 2026 Content Creater
CyberSec

ข้อมูลรั่วไหลจาก Figure

Feb 18, 2026 Content Creater

Leave a Reply

Your email address will not be published. Required fields are marked *

You missed

CyberSec

New Malware Campaign ‘CRESCENTHARVEST’ Exploits Iran Protest Sentiment to Deploy Information-Stealing RAT

February 18, 2026 Content Creater
CyberSec

Cybercriminals Leverage Atlassian Cloud for Spam Campaigns Redirecting Targets to Fraudulent Investment Schemes

February 18, 2026 Content Creater
CyberSec

ข้อมูลรั่วไหลจาก Figure

February 18, 2026 Content Creater
CyberSec

ผู้โจมตีประกาศเผยแพร่ Payload ‘ClickFix’ ใหม่ที่ซ่อนมัลแวร์ไว้ในแคชของเบราว์เซอร์

February 18, 2026 Content Creater