Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Microsoft ha pubblicato il 10 marzo 2026 una nuova vulnerabilità di sicurezza che interessa Active Directory Domain Services (AD DS). La falla, identificata come CVE-2026-25177, consente a un attaccante autenticato di ottenere un’elevazione dei privilegi attraverso la rete, con la possibilità di arrivare fino ai privilegi SYSTEM, il livello più alto nei sistemi Windows.
La vulnerabilità è classificata da Microsoft con severità Important e presenta un punteggio CVSS 3.1 di 8.8, un valore che indica un rischio elevato soprattutto per gli ambienti enterprise che utilizzano Active Directory come infrastruttura centrale per la gestione delle identità e dei processi di autenticazione.
Dal punto di vista tecnico, la vulnerabilità è associata alla debolezza CWE-641 (Improper Restriction of Names for Files and Other Resources). In pratica il problema deriva da un controllo insufficiente sui nomi utilizzati per alcune risorse all’interno di Active Directory. La falla coinvolge in particolare i Service Principal Names (SPN) e i User Principal Names (UPN), elementi fondamentali per l’autenticazione dei servizi nel protocollo Kerberos.
Secondo quanto spiegato da Microsoft, un attaccante che possiede privilegi limitati ma che dispone dell’autorizzazione a modificare gli SPN su un account può sfruttare caratteri Unicode appositamente costruiti per aggirare i controlli interni di Active Directory progettati per impedire la creazione di nomi duplicati.
Attraverso questo meccanismo diventa possibile creare SPN duplicati che non vengono rilevati dai controlli standard del sistema.
Il funzionamento dell’attacco si basa sulla manipolazione di questi nomi. L’attaccante inserisce caratteri Unicode specifici all’interno di un SPN o di un UPN in modo da creare un duplicato apparentemente valido di un servizio esistente. Quando un client richiede l’autenticazione Kerberos per quel servizio, il Domain Controller potrebbe emettere un ticket cifrato utilizzando la chiave sbagliata. Il servizio destinatario non riesce quindi a validare il ticket e lo rifiuta.
Questo comportamento può generare diverse conseguenze operative. In alcuni casi il servizio può andare incontro a un denial of service, poiché i ticket Kerberos ricevuti risultano invalidi. In altri scenari, se l’ambiente lo consente, il sistema può ricorrere a un fallback verso l’autenticazione NTLM. Questo meccanismo di ripiego, ancora presente in molte infrastrutture legacy, può aprire la strada a ulteriori tecniche di attacco basate proprio su NTLM.
Un aspetto particolarmente rilevante della vulnerabilità è che non è necessario avere accesso diretto al server del servizio bersaglio. L’unico requisito è la possibilità di scrivere o modificare gli SPN su un account all’interno del dominio. Una volta soddisfatta questa condizione, l’attacco può essere condotto interamente attraverso la rete.
Dal punto di vista delle metriche di sicurezza, la vulnerabilità presenta caratteristiche che la rendono potenzialmente pericolosa. Il vettore di attacco è di tipo network, la complessità è considerata bassa, i privilegi richiesti sono limitati e non è richiesta alcuna interazione dell’utente. L’impatto potenziale riguarda tutte le dimensioni della sicurezza: confidenzialità, integrità e disponibilità sono infatti classificate come ad alto impatto.
Al momento della pubblicazione, Microsoft ha dichiarato che la vulnerabilità non è stata divulgata pubblicamente prima del rilascio e non risultano exploit attivi in circolazione.
Anche la maturità del codice di exploit è classificata come unproven, il che vuol dire che non è stato dimostrato in modo pratico che l’exploit funzioni in ambienti reali, mentre la probabilità di sfruttamento è stata valutata come “Exploitation Less Likely”. Tuttavia, considerando il ruolo centrale di Active Directory nelle infrastrutture aziendali, il problema rimane rilevante dal punto di vista della sicurezza.
Per mitigare il rischio, Microsoft ha rilasciato un aggiornamento ufficiale di sicurezza. Le organizzazioni che utilizzano Active Directory Domain Services sono invitate a verificare lo stato del supporto dei propri sistemi e ad applicare tempestivamente le patch disponibili per le versioni supportate di Windows Server.
La scoperta della vulnerabilità è avvenuta con il contributo della società di sicurezza Semperis, nell’ambito del programma di coordinated vulnerability disclosure gestito da Microsoft, che riconosce il lavoro della comunità di ricerca nella segnalazione responsabile delle falle di sicurezza.
