Nova vulnerabilidade no Active Directory Domain Services pode permitir escalonamento de privilégios
Mesmo com a evolução para ambientes cloud e identidades híbridas, o AD ainda é o principal ponto de confiança dentro das redes corporativas. Por esse motivo, qualquer vulnerabilidade relacionada a ele deve ser tratada com máxima atenção.
Recentemente foi divulgada uma vulnerabilidade interessante no Active Directory Domain Services que envolve a forma como o diretório valida nomes de contas e serviços. Embora pareça um detalhe técnico pequeno, esse tipo de falha pode abrir caminho para ataques de impersonação e até mesmo escalonamento de privilégios dentro do domínio.
E como normalmente acontece em segurança, o problema não é apenas a vulnerabilidade em si, mas o que um atacante experiente consegue fazer a partir dela.
O que exatamente é essa falha
A vulnerabilidade está relacionada ao processo de validação de Service Principal Names (SPN) e User Principal Names (UPN), que são elementos fundamentais para o funcionamento do Kerberos dentro do Active Directory.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-25177
| Campo | Detalhe |
|---|---|
| CVE | CVE-2026-25177 |
| Produto afetado | Active Directory Domain Services |
| Fornecedor | Microsoft |
| Data de divulgação | 10 de março de 2026 |
| Tipo de vulnerabilidade | Elevação de privilégio |
| Classificação | Importante |
| CWE | CWE-641 – Improper Restriction of Names for Files and Other Resources |
| Vetor de ataque | Rede |
| Complexidade do ataque | Baixa |
| Privilégios necessários | Baixos (usuário autenticado) |
| Interação do usuário | Não requerida |
| Impacto | Alto em confidencialidade, integridade e disponibilidade |
| CVSS v3.1 | 8.8 (High) |
| Descrição técnica | Falha na validação de nomes de recursos no Active Directory que pode permitir que um usuário autenticado eleve privilégios no domínio |
| Condição para exploração | Conta autenticada com permissões suficientes para manipular atributos relacionados |
| Possível impacto | Escalonamento de privilégios e comprometimento do domínio |
| Mitigação recomendada | Aplicar patches Microsoft e revisar permissões no Active Directory |
| Referência oficial | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-25177 |
Em condições normais, o AD não permite duplicidade desses identificadores. Isso existe justamente para evitar conflitos de autenticação e possíveis abusos. O problema é que pesquisadores descobriram que essa validação pode ser contornada usando caracteres Unicode especiais.
Na prática, um atacante pode criar nomes visualmente idênticos, mas tecnicamente diferentes devido ao uso de caracteres invisíveis ou variações Unicode. Isso pode permitir que identidades maliciosas coexistam com identidades legítimas sem levantar suspeitas imediatas.
Esse tipo de técnica é particularmente perigoso porque não depende de exploração complexa de memória ou execução remota de código. Muitas vezes basta que o atacante tenha permissões consideradas “comuns” dentro do ambiente.
E esse é exatamente o tipo de cenário que vemos em incidentes reais.
Por que isso pode ser perigoso
O risco real aparece quando entendemos como SPNs são usados no Kerberos. Esses identificadores são utilizados para associar serviços a contas e permitir a emissão de tickets de autenticação.
Se um atacante consegue registrar um SPN malicioso ou manipular um existente, ele pode interferir diretamente no fluxo de autenticação. Dependendo do cenário, isso pode permitir captura de tickets, ataques de Kerberoasting ou até a personificação de serviços legítimos.
Esse tipo de falha normalmente se encaixa em técnicas já bem conhecidas dentro do MITRE ATT&CK relacionadas à manipulação de contas e abuso do Kerberos.
Como isso poderia acontecer em um ambiente real
Em um cenário realista, o atacante normalmente já teria comprometido uma conta de baixo privilégio. A partir daí, ele começaria o processo clássico de enumeração de permissões delegadas, algo extremamente comum em ambientes grandes.
Se essa conta tiver permissão para modificar atributos relacionados a SPN, mesmo que indiretamente, isso já pode ser suficiente.
O atacante então poderia registrar um SPN usando caracteres manipulados para evitar a detecção de duplicidade. A partir desse momento, ele passa a criar oportunidades para abuso de autenticação Kerberos.
O detalhe mais preocupante é que esse tipo de atividade pode parecer apenas uma modificação administrativa normal se não houver monitoramento adequado.
E na maioria dos ambientes que investigo, esse tipo de alteração simplesmente não é monitorado.
Como reduzir o risco
Esse tipo de vulnerabilidade reforça algo que repito com frequência em projetos de segurança de identidade: o maior problema quase nunca é a falha técnica isolada, mas sim o modelo de permissões acumulado ao longo dos anos.
Ambientes maduros normalmente reduzem bastante esse tipo de risco simplesmente aplicando boas práticas básicas:
Revisão de delegações antigas, redução de permissões excessivas e aplicação de hardening no modelo de identidade.
Outro ponto extremamente importante é controlar quem pode modificar SPNs. Em muitos ambientes isso acaba sendo permitido para mais contas do que deveria, normalmente por herança de projetos antigos.
Patch management também continua sendo essencial. Vulnerabilidades em AD não são algo para deixar para depois.
Referências
Cybersecurity News
https://cybersecuritynews.com/active-directory-domain-services-vulnerability-2/
Microsoft Security Updates
https://msrc.microsoft.com
MITRE ATT&CK
https://attack.mitre.org
Seja o primeiro a comentar