Корпорация Microsoft опубликовала срочное предупреждение о критической уязвимости в службе каталогов Active Directory, которая ставит под угрозу целостность и безопасность корпоративных и государственных сетей по всему миру. Уязвимость, получившая идентификатор CVE-2026-33826, позволяет аутентифицированным злоумышленникам выполнять произвольный вредоносный код на серверах удалённо, находясь в смежной сети. Учитывая её высочайшую степень опасности, специалистам по информационной безопасности и сетевым администраторам настоятельно рекомендуется немедленно приступить к установке патчей.
Уязвимость CVE-2026-33826
Согласно официальному отчёту Microsoft, причина уязвимости кроется в недостаточной проверке входных данных (CWE-20) в инфраструктуре Active Directory. Ей присвоен высокий базовый балл 8,0 по шкале оценки критичности уязвимостей CVSS 3.1, что отражает её катастрофический потенциальный ущерб для конфиденциальности, целостности и доступности систем. Техническая суть проблемы заключается в следующем. Вектор атаки ограничен смежной сетью, что означает невозможность эксплуатации уязвимости напрямую из интернета. Однако для успешной атаки злоумышленнику достаточно получить доступ к той же доменной среде Active Directory, что и целевой сервер, что является типичным сценарием для внутренних угроз или атак, следующих за первоначальным взломом периметра.
Эксплуатация требует от атакующего, прошедшего проверку подлинности в домене, отправить специально сформированный вызов удалённого процедурного вызова (RPC) на уязвимый RPC-узел. Сложность атаки оценивается как низкая, для её проведения достаточно привилегий обычного пользователя, а также не требуется никаких действий со стороны жертвы. В случае успеха это приводит к выполнению кода на стороне сервера, предоставляя злоумышленнику те же глубокие системные разрешения, что и у базовой службы RPC. Это открывает путь к полному контролю над контроллером домена, краже чувствительных данных, включая хэши паролей, и дальнейшему движению по сети.
Хотя на текущий момент зрелость эксплойта остаётся неподтверждённой, а случаи активного использования в реальных атаках не зафиксированы, угрозный ландшафт нельзя назвать спокойным. Внутренняя оценка Microsoft присвоила уязвимости статус "Exploitation More Likely", что можно перевести как "эксплуатация более вероятна". Это означает, что киберпреступники и группы, поддерживаемые государствами, с высокой долей вероятности смогут провести реверс-инжиниринг патча и разработать рабочий эксплойт в обозримом будущем. Уязвимость была ответственно обнаружена и сообщена независимым исследователем безопасности Аником Фахрулом.
Важно подчеркнуть, что проблема затрагивает широкий спектр серверных сред Microsoft, а не только устаревшие системы. Уязвимость охватывает более десяти лет выпуска корпоративного программного обеспечения. В зону риска попали Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, включая редакцию 23H2, а также Windows Server 2025. При этом уязвимы как стандартные установки, так и установки Server Core с минимальным интерфейсом. Такая распространённость превращает инцидент в проблему глобального масштаба, требующую скоординированных действий от ИТ-отделов тысяч организаций.
Microsoft устранила CVE-2026-33826 в рамках своего ежемесячного цикла обновлений безопасности за апрель 2026 года. Основным и обязательным шагом для смягчения рисков является незамедлительное развёртывание соответствующих обновлений для системы безопасности, выпущенных 14 апреля 2026 года. Для разных версий серверов необходимо установить определённые пакеты обновлений, например, KB5082063 для Server 2025 или KB5082142 для Server 2022. Помимо этого, командам безопасности рекомендуется усилить мониторинг трафика в смежных сетях на предмет аномальных RPC-запросов, нацеленных на инфраструктуру Active Directory. Крайне важно ужесточить аудит доступа к домену, поскольку для выполнения атаки злоумышленник должен быть аутентифицирован в этой среде. В целом, данная уязвимость служит суровым напоминанием о том, что даже внутренние, доверенные сегменты сети требуют не меньшего внимания к безопасности, чем внешний периметр.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-33826
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33826
