В инфраструктуре корпоративной безопасности обнаружена критическая брешь, способная парализовать систему управления идентификацией в организациях по всему миру. Речь идёт о новой уязвимости в Active Directory Domain Services (AD DS), ключевом компоненте для управления пользователями и компьютерами в доменах Windows. Успешная эксплуатация этой уязвимости позволяет злоумышленнику, имеющему даже минимальные права в сети, получить полный контроль над системой, что равносильно захвату всего домена. Microsoft выпустила заплатку в рамках ежемесячного цикла обновлений безопасности «Patch Tuesday» 10 марта 2026 года, присвоив проблеме идентификатор CVE-2026-25177.
Уязвимость CVE-2026-25177
Уязвимость, оценённая по шкале CVSS v3.1 в 8.8 баллов из 10, представляет высокий риск для предприятий любого масштаба. Её корень лежит в недостаточной проверке имён ресурсов службами домена Active Directory (категория CWE-641). Эта ошибка открывает путь для эскалации привилегий: аутентифицированный пользователь с низким уровнем доступа может несанкционированно повысить свои права до уровня SYSTEM, то есть получить абсолютный административный контроль над сервером. Что особенно тревожно, для атаки не требуется взаимодействие с пользователем, а необходимый начальный уровень привилегий крайне низок, что делает угрозу легко реализуемой.
Последствия успешной атаки катастрофичны для бизнеса. Злоумышленник, получивший права SYSTEM, получает ключи от всего королевства. Он может беспрепятственно похищать конфиденциальные данные, включая базы учётных записей, изменять критически важные настройки безопасности для закрепления в системе (persistence) и останавливать бизнес-процессы. Более того, нарушение работы протоколов аутентификации Kerberos, которое может спровоцировать эта уязвимость, способно привести к сбоям входа в систему и переводу инфраструктуры на менее безопасные методы проверки подлинности. Однако главная опасность заключается в использовании скомпрометированного контроллера домена как плацдарма для дальнейшего продвижения по сети. Отсюда атакующие могут осуществлять латеральные перемещения, атакуя другие серверы и рабочие станции, что в конечном итоге ведёт к полному заражению корпоративной среды.
Эксперты подчёркивают, что данная уязвимость является типичным примером угрозы для критически важных компонентов инфраструктуры, которые часто остаются без должного внимания с точки зрения регулярного обновления. Active Directory долгие годы является мишенью для продвинутых групп киберпреступников и государственных хакеров, так как контроль над ним даёт доступ ко всем ресурсам организации. Компания Microsoft в своём бюллетене классифицировала максимальную серьёзность уязвимости как «Важная», что подчёркивает необходимость немедленных действий со стороны ИТ-отделов.
Для эффективного противодействия угрозе специалистам по информационной безопасности рекомендуется незамедлительно применить комплекс мер. Первый и обязательный шаг - установка мартовских обновлений безопасности на все контроллеры домена и связанные системы Windows. Если немедленный патчинг невозможен по операционным причинам, следует усилить мониторинг, сосредоточившись на анализе журналов Active Directory на предмет подозрительных событий эскалации привилегий или манипуляций с именами ресурсов. Крайне важно пересмотреть и ужесточить политики назначения прав, неукоснительно соблюдая принцип наименьших привилегий для всех учётных записей, взаимодействующих со службами домена. Дополнительный уровень защиты могут обеспечить решения класса Endpoint Detection and Response (системы обнаружения и реагирования на конечных точках), способные выявлять аномальное поведение, характерное для попыток использования данной уязвимости.
В условиях, когда атаки на цепочки поставок и критические инфраструктурные компоненты учащаются, оперативное закрытие таких уязвимостей перестаёт быть рекомендацией, а становится строгой необходимостью для обеспечения бизнес-непрерывности. Промедление с установкой патча CVE-2026-25177 оставляет организацию в зоне высокого риска, создавая прямую угрозу утечки данных, финансовых потерь и репутационного ущерба.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-25177
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-25177
