NetSPI 研究人员详细披露了 Microsoft Defender for Identity（MDI）中的漏洞欺骗漏洞（CVE-2025-26685）。该漏洞虽无法单独利用 ，未授但与其他漏洞结合时可能使攻击者无需认证即可在 Active Directory 环境中实现权限提升。权权

该漏洞源于 MDI 传感器（用于监控横向移动路径）查询网络系统的限提方式 。NetSPI 证实，建站模板漏洞具备网络访问权限的未授攻击者可伪装成目标系统，操纵 SAM-R 协议 ，权权诱使 MDI 向攻击者机器发起认证。限提

研究指出："认证过程使用 SAM-R 协议 ，漏洞可将认证方式从 Kerberos 降级为 NTLM
，亿华云未授导致域服务账户（DSA）的权权 Net-NTLM 哈希值被截获。"

获取 Net-NTLM 哈希值后
，限提攻击者可进行离线破解或用于 NTLM 中继攻击 ，漏洞从而请求 Kerberos 票据授予票据（TGT），未授甚至通过 ADCS（Active Directory 证书服务）配置错误获取证书。源码库权权

成功利用此漏洞需满足两个前提条件：

NetSPI 解释称："MDI 传感器将向攻击者系统进行认证 ，并通过查询本地管理员组成员来尝试映射本地管理路径（LMP）
。"

实验室测试中，NetSPI 使用 Impacket、Certipy 和 NetExec 等工具，将 CVE-2025-26685 与 ESC8 等已知 ADCS 漏洞结合实现权限提升 。免费模板攻击者通过中继捕获的哈希值
，以 DSA 上下文请求证书 ，最终实现域级枚举或操控 。

微软建议从传统 MDI 传感器迁移至统一 XDR 传感器（v3.x），该版本完全规避了存在漏洞的服务器租用 SAM-R 协议。报告指出："传统 MDI 传感器将不再使用 SAM-R 查询 ，改为采用强制 Kerberos 认证的 WMI 查询。"

其他防御措施包括 ：