Критична уязвимост в Windows Server позволява придобиването на системни права с един пакет

Голямата експлоатация от 2026 година продължава: уязвимостите в сигурността се публикуват с плашеща скорост и често започват да се използват в реални атаки, почти преди някой да успее да реагира. Днес в центъра на вниманието се оказа Microsoft с критична уязвимост при отдалечен достъп (с рейтинг 9,8), засягаща домейн контролерите (DC) на Windows Server от версии 2012 до настоящата. Същността на експлоатацията е проста: всеки неудостоверен потребител в същата мрежа може да изпрати на домейн контролера специално форматиран UDP пакет и потенциално да получи системeн достъп, без каквито и да било предварителни права. Дори ако атакуващият не стигне толкова далеч, той може лесно да принудително рестартира домейн контролера, създавайки сценарий за отказ на услуга (DoS).

Уязвимостта е обозначена с идентификатор CVE-2026-41089 и за щастие, този път не става дума за zero-day. Уязвимата услуга е Netlogon и по всичко личи, че няма начини за заобикаляне на защитата – единственото решение е инсталирането на кръпки на засегнатите системи. Самата актуализация излезе на „Patch Tuesday“ на 12 май, но има голяма вероятност много домейн контролери да останат без кръпки, особено по-старите версии. Системните администратори също могат да намерят връзки към конкретни кръпки и скриптове за отстраняване на проблема.

Ако на злонамерен потребител успее да се възползва от тази уязвимост, за да получи достъп на системно ниво до контролерите на домейна, последствията могат да бъдат най-различни.

Потенциален злоумишленик може да създаде неограничен брой акаунти с различни нива на достъп, включително Kerberos билети, което ще му позволи да получи достъп до по-голямата част от данните в целия домейн. Тъй като домейн контролерите често работят като част от по-голяма мрежа в средни и големи предприятия, достатъчна е само една уязвима машина, за да бъде цялата мрежа незащитена. Специалистите по киберсигурност препоръчват на администраторите да третират тази заплаха като червей и да инсталират корекциите на всички свързани домейн контролери едновременно.

Microsoft заяви, че към момента на откриването уязвимостта не е била разкрита публично и не е била използвана в текущи атаки, но ситуацията се е променила от момента на откриването, тъй като последните доклади потвърдиха, че тя вече се експлоатира в реални атаки. Що се отнася до доказателството за концепцията, в GitHub има хранилище с пример за код, който предизвиква срив на услугата LSASS след около минута.

Техническите подробности са прости и донякъде обезкуражаващи. Създаденият мрежов пакет, който предизвиква уязвимостта не съдържа нищо особено сложно. Той просто съдържа едно поле, което е по-голямо от необходимото. Логиката на сериализацията на данните в услугата Netlogon обединява данните, предоставени от злонамерен потребител с името на хоста на сървъра, което води до класическо препълване на буфера – най-простият тип уязвимост. Microsoft напоследък често фигурира в новините за сигурността, главно заради продължаващия конфликт с изследователя по сигурността Chaotic Eclipse, който публикува куп zero-day експлойти, след като преговорите с компанията по всичко личи са се провалили. Ситуацията е неясна, но се изостри до такава степен, че Microsoft сега заплашва Eclipse със съдебен иск.