Sebuah vulnerability kritis pada Active Directory yang diberi nama CVE-2025-54918 baru-baru ini mendapat perhatian luas setelah Proof-of-Concept (PoC) teknisnya dipublikasikan oleh researcher Wh0am123 di GitHub. Vulnerability ini memungkinkan seorang attacker dengan privilege domain user biasa — tanpa hak akses Domain Admin atau DCSync privilege — untuk melakukan escalasi privilege hingga mencapai tingkat Domain Admin melalui teknik NTLM reflection yang dikombinasikan dengan authentication coercion. Yang paling mengkhawatirkan, vulnerability ini tetap bisa dieksploitasi bahkan ketika SMB signing diaktifkan pada Domain Controller — yang merupakan default configuration di Windows Server.
CVE-2025-54918 pertama kali diidentifikasi oleh Bryan De Houwer dan telah ditangani oleh Microsoft melalui security advisory. Namun, seperti yang dijelaskan dalam PoC, patch yang dikeluarkan oleh Microsoft hanya berlaku untuk Windows Server 2025, sementara Windows Server 2022 diperbaiki melalui CVE terpisah (CVE-2025-33073) karena adanya unintended side effect. Kerentanan ini memanfaatkan celah dalam cara Windows menangani NTLM authentication saat signing diaktifkan, memungkinkan attacker untuk merelay autentikasi NTLM dari Domain Controller ke LDAP service di Domain Controller itu sendiri — sebuah skenario yang seharusnya tidak mungkin terjadi dalam konfigurasi yang benar.
Chain exploit CVE-2025-54918 terdiri dari empat langkah utama yang harus dijalankan secara berurutan. Langkah pertama adalah membuat DNS record berbahaya di Active Directory yang menunjuk ke IP attacker. Record DNS ini harus menggunakan format khusus yang mengandung NetBIOS name tertentu yang memicu vulnerability — yaitu string localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA yang di-resolve ke IP attacker. DNS record ini dibuat menggunakan tool dnstool.py dari repository krbrelayx dengan credential domain user biasa yang sudah diketahui.
Langkah kedua adalah memulai NTLM relay menggunakan ntlmrelayx dari modifikasi impacket yang disebut impacket-partial-mic. Modifikasi ini sangat krusial karena mengimplementasikan partial MIC (Message Integrity Code) removal — sebuah teknik yang memungkinkan relay NTLM meskipun SMB signing diaktifkan. Relay dikonfigurasi untuk mengarahkan autentikasi yang diintersep ke LDAP service pada Domain Controller (ldaps://DC), dengan flag --escalate-user USERNAME untuk menambahkan privilege DCSync ke user attacker. Flag --no-validate-privs digunakan untuk melewati validasi privilege yang biasanya dilakukan oleh ntlmrelayx.
Langkah ketiga adalah memicu Domain Controller untuk melakukan autentikasi ke DNS record berbahaya yang sudah dibuat di langkah pertama. Ini dilakukan menggunakan teknik authentication coercion — dalam PoC yang dipublikasikan, digunakan PetitPotam melalui tool nxc (NetExec). PetitPotam memanfaatkan fungsi EfsRpcOpenFileRaw pada Domain Controller untuk memaksa DC melakukan outbound authentication ke listener yang ditentukan. Listener ini diarahkan ke DNS record berbahaya yang resolve ke attacker IP, sehingga NTLM challenge-response dari DC dikirim ke attacker.
Langkah keempat dan terakhir adalah memverifikasi bahwa privilege escalation berhasil dengan menjalankan secretsdump.py dari impacket-partial-mic menggunakan credential domain user yang sama. Jika exploit berhasil, secretsdump akan berhasil melakukan DCSync dan mengekstrak NTLM hashes dari seluruh akun di domain — termasuk krbtgt hash yang memungkinkan pembuatan Golden Ticket untuk persistent access tanpa batas waktu. Dari tahap ini, attacker memiliki full domain compromise dengan kemampuan untuk mengakses setiap resource di seluruh Active Directory environment.
Yang membuat CVE-2025-54918 sangat kritis adalah bahwa SMB signing — yang selama ini dianggap sebagai pertahanan utama terhadap NTLM relay — ternyata tidak memadai untuk melindungi dari varian relay ini. Microsoft mengaktifkan SMB signing secara default pada Domain Controller sejak Windows Server 2008 sebagai respons terhadap serangkaian NTLM relay attacks. Banyak organisasi mengandalkan SMB signing sebagai garis pertahanan terakhir dan enggan menginvestasikan waktu dan sumber daya untuk migrasi ke Kerberos-only authentication. CVE-2025-54918 membuktikan bahwa ketergantungan pada SMB signing sebagai satu-satunya pertahanan adalah sebuah kesalahan strategis yang bisa berakibat fatal.
Aspek authentication coercion yang digunakan dalam chain exploit ini juga patut mendapat perhatian khusus. PetitPotam adalah teknik yang sudah dikenal sejak tahun 2021 dan seharusnya sudah ditangani oleh patch Microsoft. Namun, dalam konteks CVE-2025-54918, PetitPotam digunakan bukan sebagai vulnerability tersendiri, melainkan sebagai pemicu untuk mengirimkan NTLM authentication dari DC ke listener attacker. Ini menunjukkan bahwa authentication coercion bukanlah masalah yang bisa diselesaikan dengan patch satu CVE — ini adalah kelemahan arsitektural dalam cara Windows menangani outbound authentication yang memerlukan pendekatan pertahanan yang lebih komprehensif.
Dampak terhadap lingkungan Active Directory di Indonesia sangat signifikan. Banyak organisasi besar di Indonesia — mulai dari perusahaan multinasional, bank, telekomunikasi, hingga instansi pemerintah — mengandalkan Active Directory sebagai identitas dan akses management platform. Dengan hanya memerlukan credential domain user biasa sebagai starting point, CVE-2025-54918 bisa dieksploitasi oleh attacker yang sudah berhasil melakukan phishing atau credential theft terhadap satu user saja. Dalam konteks Indonesia di mana phishing masih menjadi metode awal kompromi paling populer, potensi eksploitasi CVE-2025-54918 dalam chain serangan yang lebih luas sangat nyata dan harus dievaluasi oleh setiap organisasi yang menjalankan Active Directory.
Rekomendasi mitigasi yang harus segera diimplementasikan meliputi: pertama, pastikan patch untuk CVE-2025-54918 (untuk Windows Server 2025) dan CVE-2025-33073 (untuk Windows Server 2022) sudah diterapkan pada semua Domain Controller. Kedua, implementasikan Extended Protection for Authentication (EPA) pada LDAP dan LDAPS service. Ketiga, pertimbangkan untuk membatasi atau memonitor pembuatan DNS record baru dari non-admin accounts. Keempat, audit dan monitor penggunaan fungsi-fungsi RPC yang berkaitan dengan authentication coercion. Kelima, yang paling fundamental, mulai rencanakan migrasi dari NTLM ke Kerberos-only authentication di seluruh infrastruktur Active Directory.
Analisa Retasan
CVE-2025-54918 adalah contoh sempurna dari bagaimana vulnerability yang “kecil” — yaitu kegagalan validasi MIC dalam NTLM relay — bisa menghasilkan dampak yang sangat besar ketika dikombinasikan dengan teknik-teknik yang sudah ada. Partial MIC removal bukanlah konsep baru dalam komunitas keamanan, namun penerapannya terhadap domain controller yang sudah mengaktifkan SMB signing menunjukkan bahwa ada celah fundamental dalam model keamanan NTLM yang tidak bisa diselesaikan oleh patch incremental.
Bagi tim keamanan di Indonesia, CVE-2025-54918 menjadi pengingat keras bahwa NTLM adalah protokol yang secara fundamental tidak aman dan harus segera dimigrasikan. Setiap tahun, vulnerability baru ditemukan pada NTLM yang memungkinkan bypass terhadap pertahanan yang dianggap sudah memadai. Investasi dalam migrasi ke Kerberos-only authentication mungkin mahal dan kompleks dalam jangka pendek, namun biaya potensial dari kompromi Active Directory — yang bisa mencakup pencurian data massal, ransomware deployment, atau espionage — jauh lebih besar. Mulailah dengan mengidentifikasi service-service yang masih menggunakan NTLM, lalu buat roadmap migrasi bertahap dengan prioritas pada service yang paling kritis.
Sumber: GitHub – CVE-2025-54918-POC | CVE: CVE-2025-54918 | Researcher: Bryan De Houwer | Referensi: CrowdStrike Analysis | Microsoft Advisory