Μια «Σημαντική» ενημέρωση ασφαλείας που κυκλοφόρησε στις 10 Μαρτίου 2026, αντιμετωπίζει ένα ελάττωμα υψηλής σοβαρότητας στις Υπηρεσίες τομέα Active Directory (AD DS).
Παρακολούθηση ως CVE-2026-25177, αυτή η ευπάθεια έχει βαθμολογία CVSS 8,8. Επιτρέπει στους εξουσιοδοτημένους εισβολείς δικτύου να ανυψώσουν τα προνόμιά τους σε πλήρη έλεγχο SYSTEM.
Αυτό το ελάττωμα του Elevation of Privilege προέρχεται από έναν ακατάλληλο περιορισμό στα ονόματα αρχείων και πόρων (CWE-641).
Η επίθεση λειτουργεί εξ ολοκλήρου μέσω του δικτύου, απαιτεί ελάχιστα προνόμια, έχει χαμηλή πολυπλοκότητα επίθεσης και δεν απαιτεί αλληλεπίδραση με τον χρήστη. Επηρεάζει σε μεγάλο βαθμό την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα του συστήματος.
Ευπάθεια στις υπηρεσίες τομέα Active Directory
Η εκμετάλλευση προκύπτει όταν ένας εισβολέας χρησιμοποιεί ειδικά διαμορφωμένους χαρακτήρες Unicode για να δημιουργήσει διπλότυπα Κύρια ονόματα υπηρεσιών (SPN) ή Κύρια ονόματα χρήστη (UPN).
Αυτοί οι κρυφοί χαρακτήρες παρακάμπτουν με επιτυχία τους κανονικούς ελέγχους ασφαλείας της υπηρεσίας καταλόγου Active Directory που έχουν σκοπό να σταματήσουν τα διπλότυπα. Για να ξεκινήσει η επίθεση, ένας χάκερ χρειάζεται μόνο τυπική άδεια για να γράψει ή να τροποποιήσει SPN σε έναν λογαριασμό.
Όταν οι πελάτες ζητούν έλεγχο ταυτότητας Kerberos για μια στοχευμένη υπηρεσία με διπλότυπο SPN, ο ελεγκτής τομέα εκδίδει κατά λάθος ένα εισιτήριο κρυπτογραφημένο με λάθος κλειδί.
Στη συνέχεια, η υπηρεσία προορισμού απορρίπτει το εισιτήριο, προκαλώντας επίθεση άρνησης υπηρεσίας (DoS) ή αναγκάζοντας το δίκτυο να επιστρέψει σε παλαιότερο, λιγότερο ασφαλή έλεγχο ταυτότητας NTLM, εάν εξακολουθεί να είναι ενεργοποιημένο.
Δεν απαιτείται άμεση πρόσβαση στον στοχευμένο διακομιστή πέρα από την αρχική άδεια SPN-write.
Ένα επιτυχημένο exploit παρέχει στον εισβολέα πλήρη δικαιώματα SYSTEM, επιτρέποντάς του να αναλάβει τον πλήρη έλεγχο του διακομιστή και του ευρύτερου περιβάλλοντος τομέα.
Ευτυχώς, η Microsoft αξιολογεί αυτήν τη στιγμή τη δυνατότητα εκμετάλλευσης ως “Λιγότερο πιθανή”, χωρίς δημόσιο κώδικα εκμετάλλευσης ή ενεργές επιθέσεις στη φύση τη στιγμή της δημοσίευσης.
Η Microsoft και η Semperis συντονίστηκαν για την έκδοση επίσημων ενημερώσεων ασφαλείας για την αντιμετώπιση αυτού του ελαττώματος. Οι διαχειριστές δικτύου πρέπει να εφαρμόσουν αμέσως αυτές τις ενημερώσεις κώδικα για να ασφαλίσουν το περιβάλλον τους.
Οι ενημερώσεις καλύπτουν ένα ευρύ φάσμα λειτουργικών συστημάτων, συμπεριλαμβανομένων των εκδόσεων Windows 10, Windows 11 και Windows Server που εκτείνονται από το 2012 έως τις πιο πρόσφατες εκδόσεις του 2025.
Η παρακολούθηση περιβαλλόντων Active Directory για ασυνήθιστες τροποποιήσεις SPN μπορεί επίσης να χρησιμεύσει ως ένα χρήσιμο μέτρο προληπτικής άμυνας.
