Опубликован PoC для новой уязвимости в NTLM в Windows Server 2025, позволяющей получить права SYSTEM

Еще одна серьезная уязвимость в безопасности операционных систем Microsoft привлекла внимание специалистов по кибербезопасности. Для уязвимости, зарегистрированной под идентификатором CVE-2026-24294, был опубликован рабочий Proof-of-Concept (PoC) эксплойт. При успешной эксплуатации данной уязвимости злоумышленник может получить наивысшие привилегии уровня NT AUTHORITY\SYSTEM в системе Windows Server 2025.

Новая уязвимость показывает, что атаки NTLM Reflection, которые Microsoft ранее считала устраненными, могут вновь возникнуть. Это означает, что некоторые фундаментальные проблемы в механизмах аутентификации Windows до сих пор полностью не решены.

Что такое атака NTLM Reflection?

NTLM (NT LAN Manager) — один из протоколов аутентификации, используемых в системах Windows на протяжении многих лет. Хотя в последние годы Microsoft рекомендует переход на Kerberos и другие современные методы аутентификации, NTLM по-прежнему активно используется во многих корпоративных инфраструктурах.

Атака NTLM Reflection основана на принуждении системы к аутентификации самой себя, что позволяет перехватывать и повторно использовать аутентификационные данные пользователя или системной службы. В результате злоумышленник может получить привилегии высокого уровня.

Предыдущая уязвимость и новый метод обхода

Уязвимость CVE-2025-33073, обнаруженная в 2025 году, снова сделала атаки NTLM Reflection актуальной угрозой. Тогда Microsoft внедрила защитный механизм на уровне SMB-клиента, блокирующий специально сформированные аутентификационные запросы.

Однако эксперты отмечали, что данная защита устраняет лишь один метод эксплуатации, в то время как основная проблема в архитектуре аутентификации сохраняется.

Вскоре это предположение подтвердилось — исследователям удалось обнаружить новый метод обхода защитного механизма.

Как работает уязвимость?

Новый метод атаки использует возможность, внедренную в Windows 11 24H2 и Windows Server 2025. Теперь SMB-соединения могут осуществляться не только через традиционный порт 445, но и через произвольные TCP-порты.

Изначально эта возможность была разработана для более гибкого использования SMB-сервисов. Однако на практике она создала удобную возможность для нового сценария атаки.

Атака осуществляется в несколько этапов.

Сначала злоумышленник запускает на собственном устройстве вредоносный SMB-сервер на нестандартном TCP-порту (например, порт 12345) и принуждает систему Windows подключиться именно к этому серверу. SMB-клиент Windows устанавливает TCP-сессию с этим сервером и поддерживает ее в активном состоянии.

На следующем этапе злоумышленник с помощью специальных методов принуждает службу, работающую с правами SYSTEM (например, LSASS — Local Security Authority Subsystem Service), обратиться именно к этому SMB-ресурсу.

Windows, используя существующее TCP-соединение, выполняет NTLM-аутентификацию от имени SYSTEM.

В этот момент злоумышленник перехватывает аутентификационные данные и, передавая их на легитимный SMB-сервис, успешно проходит аутентификацию от имени NT AUTHORITY\SYSTEM. В результате устанавливается полный контроль над сервером.

С помощью каких инструментов был создан PoC?

Исследователи из компании Synacktiv разработали образец PoC, успешно эксплуатирующий данную уязвимость.

Эксплойт использует следующие инструменты:

  • Impacket smbserver.py — для запуска локального SMB-сервера;
  • Impacket ntlmrelayx — для ретрансляции (relay) перехваченной NTLM-аутентификации;
  • модифицированную версию PetitPotam — для принуждения SYSTEM-сервисов к аутентификации;
  • Windows net.exe — для организации SMB-соединений.

При совместном использовании этих инструментов становится возможным получение прав уровня SYSTEM в системе Windows Server 2025.

Какие системы находятся под угрозой?

Согласно результатам тестирования исследователей:

  • Windows Server 2025 в стандартной конфигурации уязвим для данной атаки;
  • Windows 11 24H2 в обычном состоянии не уязвима.

Это связано с тем, что в Windows 11 24H2 механизм SMB Signing включен принудительно, что блокирует relay-атаки на уровне протокола.

Если в среде Windows Server SMB Signing не включен принудительно, вероятность эксплуатации уязвимости значительно возрастает.

Какие меры предприняла Microsoft?

Microsoft зарегистрировала уязвимость под идентификатором CVE-2026-24294 и выпустила соответствующее исправление в составе мартовских обновлений безопасности 2026 года (Patch Tuesday).

Данное обновление устраняет именно этот сценарий NTLM Reflection.

Однако, по мнению экспертов, это не означает полного решения всех проблем, связанных с NTLM. Пока NTLM продолжает использоваться в корпоративных сетях и SMB Signing не включен принудительно во всех средах, вероятность появления новых аналогичных методов эксплуатации сохраняется.

Рекомендации для организаций

Специалисты по кибербезопасности рекомендуют принять следующие меры:

  • незамедлительно установить последние обновления безопасности, выпущенные Microsoft, на системы Windows Server;
  • принудительно включить SMB Signing на всех серверах;
  • по возможности отказаться от NTLM-аутентификации в пользу более современных механизмов, таких как Kerberos;
  • осуществлять постоянный мониторинг SMB-трафика через нестандартные TCP-порты;
  • отслеживать необычные SMB-соединения и попытки аутентификации на серверах;
  • использовать EDR и SIEM-решения для выявления необычной SMB-активности со стороны LSASS и других привилегированных служб;
  • строго внедрять сетевую сегментацию и принцип наименьших привилегий (Least Privilege).

Заключение

Уязвимость CVE-2026-24294 еще раз продемонстрировала, что устранение одного метода эксплуатации в механизмах аутентификации не означает полного решения проблемы. Пока протокол NTLM продолжает использоваться во многих корпоративных инфраструктурах, злоумышленники будут продолжать искать новые способы его использования.

Публикация PoC-эксплойта делает данную угрозу еще более актуальной. Поэтому организациям крайне важно как можно быстрее устанавливать обновления безопасности, выпущенные Microsoft, принудительно включать SMB Signing и разрабатывать стратегию постепенного отказа от NTLM. В противном случае подобные уязвимости могут привести к полной компрометации корпоративной инфраструктуры и переходу прав наивысшего уровня системы в руки злоумышленников.