
Опубликован PoC для новой уязвимости в NTLM в Windows Server 2025, позволяющей получить права SYSTEM
Еще одна серьезная уязвимость в безопасности операционных систем Microsoft привлекла внимание специалистов по кибербезопасности. Для уязвимости, зарегистрированной под идентификатором CVE-2026-24294, был опубликован рабочий Proof-of-Concept (PoC) эксплойт. При успешной эксплуатации данной уязвимости злоумышленник может получить наивысшие привилегии уровня NT AUTHORITY\SYSTEM в системе Windows Server 2025.
Новая уязвимость показывает, что атаки NTLM Reflection, которые Microsoft ранее считала устраненными, могут вновь возникнуть. Это означает, что некоторые фундаментальные проблемы в механизмах аутентификации Windows до сих пор полностью не решены.
Что такое атака NTLM Reflection?
NTLM (NT LAN Manager) — один из протоколов аутентификации, используемых в системах Windows на протяжении многих лет. Хотя в последние годы Microsoft рекомендует переход на Kerberos и другие современные методы аутентификации, NTLM по-прежнему активно используется во многих корпоративных инфраструктурах.
Атака NTLM Reflection основана на принуждении системы к аутентификации самой себя, что позволяет перехватывать и повторно использовать аутентификационные данные пользователя или системной службы. В результате злоумышленник может получить привилегии высокого уровня.
Предыдущая уязвимость и новый метод обхода
Уязвимость CVE-2025-33073, обнаруженная в 2025 году, снова сделала атаки NTLM Reflection актуальной угрозой. Тогда Microsoft внедрила защитный механизм на уровне SMB-клиента, блокирующий специально сформированные аутентификационные запросы.
Однако эксперты отмечали, что данная защита устраняет лишь один метод эксплуатации, в то время как основная проблема в архитектуре аутентификации сохраняется.
Вскоре это предположение подтвердилось — исследователям удалось обнаружить новый метод обхода защитного механизма.
Как работает уязвимость?
Новый метод атаки использует возможность, внедренную в Windows 11 24H2 и Windows Server 2025. Теперь SMB-соединения могут осуществляться не только через традиционный порт 445, но и через произвольные TCP-порты.
Изначально эта возможность была разработана для более гибкого использования SMB-сервисов. Однако на практике она создала удобную возможность для нового сценария атаки.
Атака осуществляется в несколько этапов.
Сначала злоумышленник запускает на собственном устройстве вредоносный SMB-сервер на нестандартном TCP-порту (например, порт 12345) и принуждает систему Windows подключиться именно к этому серверу. SMB-клиент Windows устанавливает TCP-сессию с этим сервером и поддерживает ее в активном состоянии.
На следующем этапе злоумышленник с помощью специальных методов принуждает службу, работающую с правами SYSTEM (например, LSASS — Local Security Authority Subsystem Service), обратиться именно к этому SMB-ресурсу.
Windows, используя существующее TCP-соединение, выполняет NTLM-аутентификацию от имени SYSTEM.
В этот момент злоумышленник перехватывает аутентификационные данные и, передавая их на легитимный SMB-сервис, успешно проходит аутентификацию от имени NT AUTHORITY\SYSTEM. В результате устанавливается полный контроль над сервером.
С помощью каких инструментов был создан PoC?
Исследователи из компании Synacktiv разработали образец PoC, успешно эксплуатирующий данную уязвимость.
Эксплойт использует следующие инструменты:
- Impacket smbserver.py — для запуска локального SMB-сервера;
- Impacket ntlmrelayx — для ретрансляции (relay) перехваченной NTLM-аутентификации;
- модифицированную версию PetitPotam — для принуждения SYSTEM-сервисов к аутентификации;
- Windows net.exe — для организации SMB-соединений.
При совместном использовании этих инструментов становится возможным получение прав уровня SYSTEM в системе Windows Server 2025.
Какие системы находятся под угрозой?
Согласно результатам тестирования исследователей:
- Windows Server 2025 в стандартной конфигурации уязвим для данной атаки;
- Windows 11 24H2 в обычном состоянии не уязвима.
Это связано с тем, что в Windows 11 24H2 механизм SMB Signing включен принудительно, что блокирует relay-атаки на уровне протокола.
Если в среде Windows Server SMB Signing не включен принудительно, вероятность эксплуатации уязвимости значительно возрастает.
Какие меры предприняла Microsoft?
Microsoft зарегистрировала уязвимость под идентификатором CVE-2026-24294 и выпустила соответствующее исправление в составе мартовских обновлений безопасности 2026 года (Patch Tuesday).
Данное обновление устраняет именно этот сценарий NTLM Reflection.
Однако, по мнению экспертов, это не означает полного решения всех проблем, связанных с NTLM. Пока NTLM продолжает использоваться в корпоративных сетях и SMB Signing не включен принудительно во всех средах, вероятность появления новых аналогичных методов эксплуатации сохраняется.
Рекомендации для организаций
Специалисты по кибербезопасности рекомендуют принять следующие меры:
- незамедлительно установить последние обновления безопасности, выпущенные Microsoft, на системы Windows Server;
- принудительно включить SMB Signing на всех серверах;
- по возможности отказаться от NTLM-аутентификации в пользу более современных механизмов, таких как Kerberos;
- осуществлять постоянный мониторинг SMB-трафика через нестандартные TCP-порты;
- отслеживать необычные SMB-соединения и попытки аутентификации на серверах;
- использовать EDR и SIEM-решения для выявления необычной SMB-активности со стороны LSASS и других привилегированных служб;
- строго внедрять сетевую сегментацию и принцип наименьших привилегий (Least Privilege).
Заключение
Уязвимость CVE-2026-24294 еще раз продемонстрировала, что устранение одного метода эксплуатации в механизмах аутентификации не означает полного решения проблемы. Пока протокол NTLM продолжает использоваться во многих корпоративных инфраструктурах, злоумышленники будут продолжать искать новые способы его использования.
Публикация PoC-эксплойта делает данную угрозу еще более актуальной. Поэтому организациям крайне важно как можно быстрее устанавливать обновления безопасности, выпущенные Microsoft, принудительно включать SMB Signing и разрабатывать стратегию постепенного отказа от NTLM. В противном случае подобные уязвимости могут привести к полной компрометации корпоративной инфраструктуры и переходу прав наивысшего уровня системы в руки злоумышленников.



