文章总结： 微软修复ADDS高危提权漏洞CVE-2026-25177，CVSS8.8分。该漏洞源于资源名称限制不当，允许低权限攻击者通过网络获取系统级权限，破坏Kerberos认证并横向移动。建议立即安装3月补丁，监控AD日志，执行最小权限原则并部署EDR以降低风险。 综合评分： 80 文章分类： 漏洞预警,漏洞分析,安全建设,解决方案

微软Active Directory漏洞允许攻击者提升权限

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月11日 19:12 北京

微软发布了一项关键安全更新，以解决Active Directory 域服务 (AD DS)中存在的高危权限提升漏洞。

该漏洞已在 2026 年 3 月 10 日的“补丁星期二”发布中修复，但它允许攻击者获得系统级访问权限，从而对企业身份基础架构构成重大威胁。

该安全漏洞编号为 CVE-2026-25177，其 CVSS v3.1 基本评分为 8.8 分（满分 10 分），反映出其严重性高，且可能造成广泛损害。

微软已正式将此漏洞的最高严重级别评为“重要”。其核心弱点属于 CWE-641 范畴，涉及文件和其他资源名称限制不当。

由于该攻击途径依赖于网络访问，并且只需要低级权限而无需用户交互，因此恶意行为者很容易利用该攻击途径。

技术细节

该漏洞会影响无数企业环境中使用的基本身份和访问管理组件。

当 Active Directory 域服务未能正确验证或限制资源名称时，就会出现此漏洞。

这种安全漏洞使得拥有有限网络访问权限的已认证攻击者能够在未经授权的情况下成功提升其权限。

如果成功利用此技术，可能会破坏Kerberos 身份验证协议，迫使系统采取安全性较低的回退行为，或导致服务中断。

此漏洞造成的后果十分严重。获取系统级权限将使攻击者拥有对受感染Windows机器的完全管理控制权。

这种高权限使得未经授权的用户能够窃取高度敏感的企业数据，恶意更改关键系统配置，并扰乱重要的业务运营。

此外，被入侵的 Active Directory 环境通常会成为更深层次网络入侵的战略跳板。

攻击者可以利用新获得的管理权限在企业网络中横向移动，攻击其他服务器和终端。

许多运行受影响系统的组织在采取必要的缓解措施之前，仍然非常脆弱。

缓解策略

为了保护企业网络免受这种权限提升漏洞的攻击，安全团队必须主动实施以下几项关键防御措施：

• 应用安全更新： 立即在所有受影响的域控制器和 Windows 系统上安装 2026 年 3 月 Microsoft 周二补丁更新，以修复此漏洞。
• 监控网络活动： 主动查看 Active Directory 日志，以发现意外的权限提升、可疑的网络流量或不寻常的资源名称操作。
• 强制执行最小权限原则： 对所有与 Active Directory 域服务交互的服务帐户和普通用户严格应用最小权限原则。
• 部署端点保护： 如果立即修补不可行，则利用增强型端点检测和响应 (EDR) 解决方案以及应用程序白名单来识别和阻止可疑活动。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《微软Active Directory漏洞允许攻击者提升权限》