نقص جعل هویت Microsoft Defender دسترسی به AD را امکان‌پذیر می‌کند

به تازگی یک آسیب‌پذیری جعل هویت(CVE-2025-26685)  در Microsoft Defender شناسایی شده است که به مهاجمان غیرمجاز اجازه می‌دهد تا هش‌های Net-NTLM حساب‌های سرویس دایرکتوری (DSA) حیاتی را ضبط کنند و به طور بالقوه محیط‌های اکتیو دایرکتوری را به خطر بیندازند.

مهاجمان می‌توانند با ایجاد اتصالات ناشناس SMB به کنترل‌کننده‌های دامنه، این پرس‌وجوها را آغاز کنند و حسگر MDI را مجبور به احراز هویت از طریق NTLM به جای Kerberos کنند.

این نقص که در مقیاس CVSS نسخه ۳.۱، امتیاز ۶.۵ (متوسط) دارد، از ویژگی مسیرهای حرکت جانبی (LMP) MDI سوءاستفاده می‌کند و به طور فعال در به‌روزرسانی‌های وصله ماه می مایکروسافت برطرف شده است.

در حالی که وصله‌ها تهدیدات فوری را کاهش می‌دهند، سازمان‌ها باید ادغام AD ابزارهای امنیتی شخص ثالث را بررسی کرده و محافظت‌های رله NTLM سختگیرانه‌ای را اعمال کنند.