Outbreak Alert: Vulnerabilidade no Active Directory Domain Services permite escalação de privilégios - CVE-2026-25177

O CTI do ICS Labs identificou uma vulnerabilidade crítica no Microsoft Active Directory Domain Services (ADDS) identificada como CVE-2026-25177, corrigida pela Microsoft no pacote de atualizações de segurança de março de 2026.

A falha possui pontuação CVSS 8.8, sendo classificada como de alta severidade. O problema afeta o mecanismo de validação de nomes de recursos e arquivos no AD, permitindo que atacantes autorizados na rede explorem inconsistências no tratamento de caracteres Unicode para manipular identidades de serviço dentro do domínio.

A vulnerabilidade impacta diversas versões do Windows, incluindo Windows 10, Windows 11 e versões do Windows Server a partir de 2012, podendo comprometer ambientes corporativos que dependem fortemente da autenticação centralizada baseada em Kerberos.

Visão geral da ameaça:

A vulnerabilidade ocorre devido a uma restrição inadequada na validação de nomes de recursos (CWE-641) dentro do AD. Um atacante pode explorar esse comportamento para criar Service Principal Names (SPNs) ou User Principal Names (UPNs) aparentemente duplicados utilizando caracteres Unicode especiais invisíveis.

Esse método permite contornar os mecanismos de verificação de duplicidade do Active Directory. Quando um cliente solicita autenticação Kerberos para um serviço com um SPN duplicado, o controlador de domínio pode emitir um ticket criptografado com a chave incorreta.

Esse comportamento pode gerar dois cenários principais:

• Negação de serviço (DoS) no serviço alvo, que rejeita o ticket inválido.

• Fallback para autenticação NTLM, caso ainda esteja habilitada, reduzindo significativamente a segurança do ambiente.

Para explorar a falha, o atacante precisa apenas de permissão padrão de escrita ou modificação de SPN em um serviço, o que pode existir em configurações permissivas ou após comprometimento inicial de credenciais.

Se explorada com sucesso, a vulnerabilidade pode resultar em elevação de privilégios até nível SYSTEM, possibilitando controle completo do servidor afetado e potencial comprometimento de todo o domínio.

Até o momento, não há exploits públicos ou ataques ativos conhecidos.

Ações de recomendação:

• Aplicar as atualizações de segurança de março de 2026 disponibilizadas pela Microsoft em todos os sistemas afetados.

• Revisar permissões de contas que podem modificar SPNs ou UPNs, garantindo que apenas administradores ou contas estritamente necessárias possuam essa capacidade.

• Monitorar logs e alterações no Active Directory, especialmente eventos relacionados à criação ou modificação de SPNs.

• Desabilitar autenticação NTLM, sempre que possível, para evitar fallback em caso de falha no processo Kerberos.

• Validar duplicidade de SPNs no ambiente, utilizando ferramentas administrativas ou scripts de auditoria.

Medidas de Fortalecimento e Proteção:

• Implementar monitoramento contínuo do Active Directory, incluindo alertas para alterações incomuns em SPNs, UPNs e atributos críticos de contas.

• Adotar o princípio do menor privilégio, restringindo permissões de escrita em objetos do AD apenas a contas administrativas confiáveis.

• Aplicar hardening de autenticação, priorizando Kerberos e eliminando protocolos legados quando possível.

• Integrar logs do Active Directory ao SIEM, permitindo correlação de eventos suspeitos e detecção precoce de movimentação lateral

• Executar auditorias periódicas de configuração do AD, identificando permissões excessivas ou configurações inseguras.

IOCs:

Últimas atualizações:

• Março, 2026: Microsoft lança oficialmente um patch para solucionar 78 vulnerabilidades.

• Março, 2026: Divulgação oficial da CVE-2026-25177, que aconteceu assim que o patch foi disponibilizado.