NetSPI 研究人员详细披露了 Microsoft Defender for Identity（MDI）中的漏洞欺骗漏洞（CVE-2025-26685）。该漏洞虽无法单独利用，未授但与其他漏洞结合时可能使攻击者无需认证即可在 Active Directory 环境中实现权限提升 。权权

该漏洞源于 MDI 传感器（用于监控横向移动路径）查询网络系统的限提方式 。NetSPI 证实，高防服务器漏洞具备网络访问权限的未授攻击者可伪装成目标系统
，操纵 SAM-R 协议，权权诱使 MDI 向攻击者机器发起认证
。限提

研究指出："认证过程使用 SAM-R 协议，漏洞可将认证方式从 Kerberos 降级为 NTLM ，源码库未授导致域服务账户（DSA）的权权 Net-NTLM 哈希值被截获 。"

获取 Net-NTLM 哈希值后，限提攻击者可进行离线破解或用于 NTLM 中继攻击，漏洞从而请求 Kerberos 票据授予票据（TGT）
，未授甚至通过 ADCS（Active Directory 证书服务）配置错误获取证书。云计算权权

成功利用此漏洞需满足两个前提条件 ：

NetSPI 解释称："MDI 传感器将向攻击者系统进行认证 ，并通过查询本地管理员组成员来尝试映射本地管理路径（LMP） 。"

实验室测试中，NetSPI 使用 Impacket
、Certipy 和 NetExec 等工具 ，将 CVE-2025-26685 与 ESC8 等已知 ADCS 漏洞结合实现权限提升。建站模板攻击者通过中继捕获的哈希值，以 DSA 上下文请求证书，最终实现域级枚举或操控 。

微软建议从传统 MDI 传感器迁移至统一 XDR 传感器（v3.x），该版本完全规避了存在漏洞的亿华云 SAM-R 协议
。报告指出："传统 MDI 传感器将不再使用 SAM-R 查询，改为采用强制 Kerberos 认证的 WMI 查询。"

其他防御措施包括 ：