Lỗ hổng nghiêm trọng trong Microsoft Active Directory cho phép chiếm quyền hệ thống

[WhiteHat Team]

Chỉ với một tài khoản người dùng thông thường, kẻ tấn công có khả năng chiếm đoạt quyền kiểm soát tối cao trên toàn bộ hạ tầng Windows thông qua lỗ hổng leo thang đặc quyền nghiêm trọng vừa được phát hiện trong Active Directory Domain Services (AD DS). Sự cố này biến hệ thống quản trị danh tính vốn là cốt lõi bảo mật của doanh nghiệp trở thành bàn đạp lý tưởng cho các chiến dịch thâm nhập sâu và phát tán mã độc quy mô lớn.
​

Trong đợt cập nhật Patch Tuesday ngày 10/03/2026, Microsoft đã phát đi cảnh báo khẩn cấp về mã lỗi CVE-2026-25177 nằm trong dịch vụ Active Directory Domain Services. Với điểm số nguy hiểm đạt mức 8.8 theo thang đo CVSS v3.1, lỗ hổng này đe dọa trực tiếp đến tính toàn vẹn của mọi hệ thống xác thực và quản lý tài nguyên trong môi trường doanh nghiệp.

Active Directory Domain Services là thành phần trung tâm trong hạ tầng quản lý danh tính của Windows, được sử dụng để xác thực người dùng, quản lý tài khoản và áp dụng các chính sách truy cập trong mạng doanh nghiệp. Vì đóng vai trò như “trung tâm điều phối” của toàn bộ quá trình xác thực, bất kỳ lỗ hổng nào xuất hiện trong dịch vụ này đều có thể kéo theo những rủi ro nghiêm trọng đối với toàn bộ hệ thống.

Theo phân tích kỹ thuật, CVE-2026-25177 thuộc nhóm CWE-641, liên quan đến việc hạn chế không đúng cách đối với tên của tệp hoặc các tài nguyên hệ thống. Lỗi phát sinh do AD DS không kiểm tra đầy đủ một số tên tài nguyên trong quá trình xử lý, từ đó tạo cơ hội cho kẻ tấn công thao túng các tham chiếu tài nguyên để thay đổi hành vi của hệ thống. Một đối tượng đã có quyền truy cập hợp lệ vào mạng, dù chỉ với đặc quyền thấp, có thể lợi dụng điểm yếu này để leo thang đặc quyền lên cấp cao hơn.

Điều đáng lo ngại là kẻ tấn công không cần quyền cao để bắt đầu khai thác. Chỉ cần đã có quyền truy cập hợp lệ vào mạng nội bộ, kể cả ở mức thấp, họ có thể lợi dụng lỗ hổng này để nâng quyền trong hệ thống. Quá trình khai thác cũng không yêu cầu tương tác từ người dùng, khiến nguy cơ bị lợi dụng trong môi trường doanh nghiệp trở nên đáng kể.

Nếu tấn công thành công, kẻ tấn công có thể giành được quyền SYSTEM trên máy Windows bị ảnh hưởng. Đây là mức đặc quyền cao nhất trong hệ điều hành, cho phép kiểm soát gần như toàn bộ hệ thống. Với quyền này, kẻ tấn công có thể truy cập dữ liệu nhạy cảm, thay đổi cấu hình bảo mật, cài đặt phần mềm độc hại hoặc thiết lập cửa hậu để duy trì quyền truy cập lâu dài.

Các nhà nghiên cứu cũng cảnh báo việc khai thác CVE-2026-25177 có thể ảnh hưởng đến cơ chế xác thực Kerberos. Trong một số trường hợp, kẻ tấn công có thể thao túng quá trình xác thực, khiến hệ thống chuyển sang cơ chế dự phòng kém an toàn hơn hoặc gây gián đoạn dịch vụ xác thực trong mạng.

Trong thực tế, khi kẻ tấn công chiếm được đặc quyền cao trong môi trường Active Directory Domain Services, vị trí này thường trở thành bàn đạp để mở rộng phạm vi xâm nhập. Từ đó, chúng có thể di chuyển ngang trong mạng, nhắm tới domain controller, máy chủ tệp và các hệ thống quan trọng khác. Leo thang đặc quyền trong Active Directory từ lâu đã là bước đi quen thuộc trong nhiều chiến dịch tấn công có chủ đích cũng như các cuộc tấn công ransomware.

Các tổ chức sử dụng hệ thống Windows được khuyến nghị sớm triển khai bản cập nhật bản vá tháng 3/2026, đặc biệt đối với các máy chủ domain controller hoặc hệ thống đang chạy Active Directory Domain Services. Bên cạnh việc vá lỗi kịp thời, các quản trị viên hệ thống và bộ phận phụ trách công nghệ thông tin nên thực hiện thêm các biện pháp sau:​

• Theo dõi nhật ký Active Directory để phát hiện các dấu hiệu leo thang đặc quyền bất thường​
• Áp dụng nguyên tắc phân quyền tối thiểu nhằm hạn chế các quyền quản trị không cần thiết​
• Tăng cường giám sát hoạt động trong mạng để phát hiện sớm các hành vi truy cập hoặc xác thực đáng ngờ​
• Triển khai các giải pháp phát hiện và phản ứng điểm cuối như EDR để kịp thời nhận diện dấu hiệu xâm nhập​

Theo Cyber Press​