Một bản cập nhật bảo mật quan trọng được phát hành vào ngày 10 tháng 3 năm 2026 đã khắc phục một lỗ hổng CVE nghiêm trọng trong Active Directory Domain Services (AD DS). Lỗ hổng này, được theo dõi dưới mã CVE-2026-25177, đạt điểm CVSS 8.8.

Nó cho phép kẻ tấn công mạng có quyền truy cập được ủy quyền leo thang đặc quyền lên cấp độ SYSTEM.

Phân tích Lỗ hổng CVE-2026-25177

CVE-2026-25177 là một lỗ hổng loại Elevation of Privilege (Leo thang đặc quyền). Lỗ hổng này xuất phát từ việc hạn chế không đúng cách đối với tên tệp và tài nguyên.

Nó được phân loại là CWE-641: Improper Restriction of Excessive Names in Files and Resources.

Kẻ tấn công có thể khai thác lỗ hổng CVE này hoàn toàn qua mạng, chỉ yêu cầu các đặc quyền tối thiểu và có độ phức tạp tấn công thấp, không cần tương tác từ người dùng.

Mức độ ảnh hưởng đến tính bảo mật (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability) của hệ thống là rất cao.

Cơ chế khai thác và chiếm quyền điều khiển

Việc khai thác xảy ra khi kẻ tấn công sử dụng các ký tự Unicode được tạo đặc biệt để tạo các bản sao Service Principal Names (SPNs) hoặc User Principal Names (UPNs).

Các ký tự ẩn này có khả năng vượt qua thành công các kiểm tra bảo mật thông thường của Active Directory được thiết kế để ngăn chặn các bản sao.

Để thực hiện cuộc tấn công, kẻ tấn công chỉ cần có quyền tiêu chuẩn để ghi hoặc sửa đổi SPN trên một tài khoản.

Khi các máy khách yêu cầu xác thực Kerberos cho một dịch vụ mục tiêu với SPN trùng lặp, bộ điều khiển miền (domain controller) sẽ cấp nhầm một vé được mã hóa bằng khóa không chính xác.

Dịch vụ mục tiêu sau đó từ chối vé này, dẫn đến một cuộc tấn công từ chối dịch vụ (Denial-of-Service – DoS) hoặc buộc mạng phải chuyển sang xác thực NTLM cũ hơn, kém an toàn hơn nếu nó vẫn được bật.

Không cần truy cập trực tiếp vào máy chủ mục tiêu ngoài quyền ghi SPN ban đầu.

Một cuộc khai thác thành công sẽ cấp cho kẻ tấn công quyền SYSTEM đầy đủ, cho phép chúng chiếm quyền điều khiển hoàn toàn máy chủ và môi trường miền rộng lớn hơn.

Đánh giá khả năng khai thác lỗ hổng

Theo đánh giá của Microsoft, khả năng khai thác hiện tại của lỗ hổng CVE-2026-25177 được xếp loại là “Less Likely” (Ít có khả năng).

Tại thời điểm công bố, chưa có mã khai thác công khai hoặc các cuộc tấn công đang hoạt động được ghi nhận.

Tuy nhiên, tầm quan trọng của lỗ hổng này đòi hỏi các biện pháp phòng ngừa và khắc phục ngay lập tức để giảm thiểu rủi ro.

Biện pháp khắc phục và bản vá bảo mật

Microsoft và Semperis đã phối hợp phát hành các bản cập nhật bảo mật chính thức để khắc phục lỗ hổng CVE này. Các quản trị viên mạng phải áp dụng ngay lập tức các bản vá bảo mật này để bảo vệ môi trường của họ.

Các bản cập nhật bao gồm nhiều hệ điều hành rộng rãi, bao gồm Windows 10, Windows 11 và các phiên bản Windows Server từ 2012 đến các bản phát hành 2025 mới nhất.

Để tìm hiểu thêm chi tiết về bản vá và tải xuống, truy cập nguồn đáng tin cậy: Microsoft Security Response Center (MSRC).

Các biện pháp phòng thủ chủ động

Bên cạnh việc áp dụng các bản vá, việc giám sát môi trường Active Directory để phát hiện các sửa đổi SPN bất thường cũng là một biện pháp phòng thủ chủ động hữu ích để chống lại lỗ hổng CVE này.

Các lệnh CLI hoặc script PowerShell có thể được sử dụng để kiểm tra các SPN trùng lặp hoặc các SPN được tạo/sửa đổi gần đây.

Ví dụ, để liệt kê các SPN liên quan đến một tài khoản cụ thể:

setspn -L <Tên_Tài_khoản>

Hoặc để tìm kiếm SPN trùng lặp trong toàn bộ miền:

setspn -X

Việc theo dõi chặt chẽ các sự kiện liên quan đến việc tạo và sửa đổi SPN/UPN có thể giúp phát hiện sớm các hoạt động đáng ngờ.

Ảnh hưởng tổng thể đến hệ thống

Khi kẻ tấn công thành công trong việc chiếm quyền điều khiển thông qua CVE-2026-25177, chúng có thể thực hiện các hành động sau:

• Truy cập và sửa đổi dữ liệu nhạy cảm.
• Cài đặt phần mềm độc hại hoặc tạo cửa hậu (backdoor).
• Tạo tài khoản người dùng với đặc quyền cao.
• Vô hiệu hóa các dịch vụ bảo mật hoặc hệ thống.
• Mở rộng tấn công sang các hệ thống khác trong miền.

Mức độ rủi ro đối với toàn bộ cơ sở hạ tầng mạng là rất cao do vai trò trung tâm của Active Directory trong việc quản lý danh tính và quyền truy cập.