文章总结: Synacktiv披露Kerberos反射绕过漏洞CVE-2026-26128,允许域用户在Windows系统上将权限提至SYSTEM。该漏洞利用域控制器与DNS客户端处理Unicode字符的差异,通过本地转发器绕过先前补丁的IP检查实现本地提权。除强制SMB签名的Win1124H2外,未打2026年3月补丁的Windows版本均受影响。建议立即安装3月补丁,全局启用SMB签名,对HTTP服务强制通道绑定并限制网络访问以阻断中继攻击。 综合评分: 87 文章分类: 漏洞分析,漏洞预警,漏洞POC,内网渗透
Synacktiv 公开披露了一个 Kerberos 反射绕过漏洞(CVE-2026-26128),并提供了 PoC 漏洞利用代码
Ots安全
2026年7月6日 10:17 广东
在小说阅读器读本章
去阅读
威胁简报
恶意软件
漏洞攻击
Synacktiv 公开披露了一个 Kerberos反射绕过漏洞,漏洞编号为CVE-2026-26128。该漏洞允许域用户在目标 Windows 计算机上获得 SYSTEM 权限。概念验证的漏洞利用代码已公开,微软已于 2026 年 3 月修复了该漏洞。
为什么这很重要
Kerberos 反射会将一台机器自身的身份验证信息转发回自身。成功转发后,即可在目标机器上建立 SYSTEM 会话。这种 Kerberos 反射链在大多数 Windows 版本上默认工作。只有 Windows 11 24H2 版本会阻止它,因为它强制使用 SMB 签名。由于概念验证已公开,因此对 Active Directory 网络构成的风险是真实存在的。一个普通的域用户就足以发起攻击。研究还表明,微软之前的两个补丁未能触及问题的根源。身份验证反射问题困扰 Windows 系统近二十年,而这项研究证明它仍在不断卷土重来。
攻击原理
Synacktiv 构建了一种新的 Kerberos 强制身份验证原语。它利用了Windows组件处理 Unicode 字符方式的差异。域控制器在查找服务主体名称 (SPN) 时采用一种规范化方式,而 DNS 客户端则采用另一种方式。因此,精心构造的记录可以映射到真实的机器 SPN,同时仍然触发 DNS 查询。攻击者随后在受控服务器上获取目标机器的 Kerberos 票据。该票据对目标的 SMB 服务仍然有效。强制身份验证触发器(例如打印机或 EFSRPC 调用)会强制目标机器进行身份验证。
起初,这导致了经过身份验证的远程代码执行 (RCE) 漏洞,并使CVE-2025-33073的修复失效。Synacktiv 于 2025 年 10 月向微软报告了此漏洞。随后,微软在 10 月份的“周二补丁日”发布了CVE-2025-58726补丁,该补丁阻止了 SMB 的中继。该补丁仅检查本地身份验证是否来自本地 IP 地址。然而,Synacktiv 也绕过了该漏洞。
CVE-2026-26128 变种通过本地转发器转发票据,使连接看起来像是本地连接。其结果是可靠的本地权限提升至 SYSTEM。完整的漏洞利用链出现在Synacktiv 的研究中,并且一个公开的概念验证也重现了该漏洞。
受影响版本
该攻击在 2026 年 3 月补丁之前的所有 Windows 版本上默认有效。Windows 11 24H2 是个例外,因为它强制执行 SMB 签名。微软将这两个相关的漏洞分别标记为 CVE-2025-58726 和 CVE-2026-26128。这两个漏洞均在 2026 年 3 月的更新中得到了修复。
修补和缓解
请在所有服务器上应用 2026 年 3 月的“周二补丁日”更新。强制所有服务器启用 SMB 签名,因为它能彻底阻止中继攻击。同样的防御措施也能保护尚未打补丁的系统。值得注意的是,Kerberos 反射技巧仍然会影响缺少完整性检查的 HTTP 服务。Synacktiv 展示了针对 ADCS Web 注册和 SCCM AdminService 的有效攻击。因此,请强制执行通道绑定,并限制对这些服务的网络访问。禁用所有不需要的 HTTP 连接器。目前尚未确认任何实际的漏洞利用。但是,一旦漏洞被公开,攻击者的行动时间就会缩短,因此请尽快打补丁。
- https://github.com/jarnovandenbrink/CVE-2026-26128
END
公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址
排版 编辑 | Ots 小安
采集 翻译 | Ots Ai牛马
公众号 | AnQuan7 (Ots安全)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Ots安全 《Synacktiv 公开披露了一个 Kerberos 反射绕过漏洞(CVE-2026-26128),并提供了 PoC 漏洞利用代码》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论