Великая эксплуатация 2026 года продолжается полным ходом: уязвимости в области безопасности публикуются с тревожной скоростью, и зачастую их начинают использовать в реальных условиях почти прежде, чем кто-либо успевает отреагировать. Сегодня в незавидном положении оказалась Microsoft: обнаружена уязвимость с рейтингом 9.8, позволяющая удаленно выполнять код и затрагивающая контроллеры домена (DC) Windows Server, начиная с версии 2012 и по текущие. Эксплойт и его объяснение просты: любой неаутентифицированный пользователь в той же сети может отправить некорректно сформированный UDP-пакет на контроллер домена и потенциально получить доступ на уровне системы — без какого-либо предварительного доступа. Даже если злоумышленник не пойдет так далеко, любому легко заставить контроллер домена перезагрузиться, что создает сценарии отказа в обслуживании. Уязвимость имеет идентификатор CVE-2026-41089, и, к счастью, на этот раз это не уязвимость нулевого дня. Уязвимый сервис — Netlogon, и, по всей видимости, нет никаких мер смягчения последствий; единственное решение — установить исправления на затронутые системы. Само исправление выходит в рамках “Вторника исправлений” 12 мая, но есть большая вероятность, что многие контроллеры домена останутся без патчей, особенно, но не только, старые версии. Системные администраторы также могут найти полезными конкретные ссылки на исправления и скрипты для устранения. Если злоумышленнику удастся использовать эту уязвимость для получения доступа к контроллерам домена на уровне системы, последствия весьма обширны. Злоумышленник может создать любое количество учетных записей со всевозможными уровнями доступа, включая билеты Kerberos Ticket-Granting Tickets, что обеспечивает доступ к практически всем данным во всем домене. Поскольку контроллеры домена часто являются частью более крупной сети в средних и крупных предприятиях, достаточно одной уязвимой машины, чтобы сделать всю сеть небезопасной. Специалисты по кибербезопасности рекомендуют администраторам рассматривать это как угрозу червеобразного типа и немедленно устанавливать исправления на все связанные контроллеры домена, чтобы избежать игры в “ударь крота” с высокими шансами для кротов. Microsoft заявляла, что уязвимость не была обнародована на тот момент и что она не использовалась в текущих атаках, но ситуация изменилась с даты обнаружения, поскольку недавние отчеты подтвердили, что она теперь эксплуатируется в реальных условиях. Что касается доказательства концепции, существует репозиторий на GitHub с примером кода, который вызывает сбой службы LSASS примерно через минуту. Технические детали просты и несколько вызывают недоумение. Созданный сетевой пакет, который вызывает уязвимость, ничем особенным не примечателен; он просто содержит одно поле, которое больше, чем должно быть. Логика сериализации данных в службе Netlogon объединяет данные, предоставленные атакующим, с именем хоста сервера, что приводит к классическому переполнению буфера — самому простому типу уязвимости. Microsoft в последнее время часто фигурирует в новостях о безопасности, в основном благодаря продолжающейся перепалке с исследователем безопасности Chaotic Eclipse (он же Nightmare Eclipse), который опубликовал множество эксплойтов нулевого дня после того, как, по всей видимости, переговоры с компанией провалились. Ситуация неясна, но обострилась до такой степени, что Microsoft теперь угрожает Eclipse судебным иском.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
