Корпорация Microsoft устранила критическую уязвимость повышения привилегий, затрагивающую среды Windows по всему миру. Новая атака объединяет технику отражения Kerberos с использованием сконфигурированных неправильно имен участников-служб для получения прав уровня SYSTEM на компьютерах, присоединенных к домену.
Детали уязвимости
Уязвимость, зарегистрированная под идентификатором CVE-2025-58726, имеет рейтинг CVSS 3.1 8.8 баллов и классифицируется как высокая. Вектор атаки - сетевой, что позволяет злоумышленникам осуществлять удаленные атаки без предварительной аутентификации. Исследователи кибербезопасности сообщили о проблеме Microsoft в июне 2025 года, и компания выпустила исправления в рамках ежемесячного обновления безопасности в октябре.
Механизм атаки основан на эксплуатации так называемых Ghost SPN - имен участников-служб, которые ссылаются на имена узлов, не разрешаемые в DNS. Такие ситуации возникают по разным причинам: устаревшие системы, предварительно развернутые службы, ошибки конфигурации или настройки между лесами Active Directory. Хотя сами по себе Ghost SPN не представляют непосредственной угрозы, в сочетании с разрешениями Active Directory по умолчанию и слабыми элементами управления безопасностью SMB они создают exploitable attack surfaces - эксплуатируемые поверхности атаки.
Атака использует технику отражения Kerberos, когда злоумышленники перехватывают запросы аутентификации с целевых машин и отражают их обратно к той же службе. В отличие от отражения NTLM, которое было смягчено годами ранее, Kerberos не имеет универсальных механизмов обнаружения reflection-атак. Этот пробел позволяет атакующим обманом заставить компьютеры, присоединенные к домену, проходить аутентификацию на контролируемых злоумышленниками конечных точках.
По умолчанию в Active Directory обычный пользователь домена имеет права на регистрацию записей DNS. Создав DNS-запись для Ghost SPN, указывающую на контролируемый IP-адрес, атакующие перенаправляют попытки аутентификации. Когда целевая машина запрашивает сервисный билет Kerberos для Ghost SPN, она неосознанно аутентифицируется под своей собственной учетной записью компьютера, которую операционная система отображает на привилегии уровня SYSTEM.
Для успешной эксплуатации необходимы специфические условия: компьютер Windows, присоединенный к домену, без принудительной подписи SMB, наличие Ghost SPN, доступ пользователя домена к регистрации записей DNS и возможность вызвать аутентификацию машины через техники принуждения, такие как уязвимость службы диспетчера печати. После успешной атаки злоумышленники получают удаленное выполнение кода с привилегиями SYSTEM. Если скомпрометированная машина является активом уровня Tier 0, например сервером служб сертификации Active Directory, атакующие могут эскалировать привилегии до полного компрометации домена, что потенциально затрагивает всю инфраструктуру.
Исправление от Microsoft модифицирует драйвер SMB для обнаружения и прекращения попыток нелокальных подключений, использующих отражение Kerberos. Организациям следует немедленно применить обновления безопасности за октябрь 2025 года для всех версий Windows. Помимо установки исправлений, критически важные меры смягчения включают принудительное включение подписи SMB на всех компьютерах, присоединенных к домену, регулярный аудит и удаление неправильно сконфигурированных SPN, ограничение прав на запись в DNS для стандартных пользователей и мониторинг трафика Kerberos на предмет подозрительных запросов сервисных билетов.
Установка исправлений для известных уязвимостей принуждения и отключение ненужных служб RPC дополнительно укрепляет защиту от этой цепочки атак. Открытие уязвимости подчеркивает, как устаревшие элементы инфраструктуры в сочетании с разрешениями по умолчанию и слабостями аутентификации создают exploitable attack paths - эксплуатируемые пути атак в корпоративных средах. Организации должны применять комплексный подход, одновременно решающий проблемы неправильных конфигураций, управления доступом и сетевой безопасности.
Обновления безопасности доступны через Центр обновления Windows, WSUS и каталог Центра обновления Microsoft. Администраторам рекомендуется расставить приоритеты для установки исправлений на критически важных системах, особенно на контроллерах домена и серверах инфраструктуры. Регулярный мониторинг событий безопасности и анализ журналов аутентификации помогут выявить потенциальные попытки эксплуатации до применения обновлений. Своевременное реагирование на такие угрозы требует не только технических мер, но и пересмотра политик управления идентификацией и доступом в корпоративных сетях.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-58726
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-58726
