Novas cadeias de ataque SPNs fantasmas e Kerberos Reflection para elevar privilégios de SMB
A Microsoft abordou uma vulnerabilidade crítica de escalonamento de privilégios que afeta ambientes Windows em todo o mundo.
Os invasores podem explorar nomes principais de serviço (SPNs) mal configurados combinados com ataques de reflexão Kerberos para obter acesso em nível de SISTEMA em máquinas unidas por domínio, mesmo quando mitigações Kerberos anteriores estão em vigor.
| Atributo | Detalhes |
| ID CVE | CVE-2025-58726 |
| Tipo de vulnerabilidade | Elevação de privilégio do servidor SMB |
| Pontuação CVSS 3.1 | 8,8 (Alto) |
| Vetor de ataque | Rede |
A vulnerabilidade, catalogada como CVE-2025-58726, revela como nomes de serviços Ghost SPNs que fazem referência a nomes de host que não são resolvidos no DNS criam superfícies de ataque exploráveis em ambientes do Active Directory.
Pesquisadores de segurança relataram a vulnerabilidade à Microsoft em junho de 2025, e a empresa lançou patches durante a atualização Patch Tuesday de outubro.
Compreendendo o Mecanismo de Ataque
SPNs fantasmas ocorrem por motivos legítimos, incluindo sistemas legados, serviços pré-preparados, erros de configuração ou configurações entre florestas.
No entanto, esses SPNs órfãos tornam-se perigosos quando combinados com permissões padrão do Active Directory e controles de segurança SMB fracos.
O ataque explora Autenticação Kerberos reflexão, uma técnica em que invasores capturam solicitações de autenticação de máquinas vítimas e as refletem de volta para o mesmo serviço.
Ao contrário da reflexão NTLM, que tem sido mitigada há anos, o Kerberos carece de mecanismos universais de detecção de reflexão.
Essa lacuna permite que invasores enganem máquinas unidas por domínio para que se autentiquem em endpoints controlados pelo invasor.
Um usuário de domínio de baixo privilégio pode registrar registros DNS por padrão no Active Directory. Ao criar uma entrada DNS para um SPN Ghost apontando para seu endereço IP controlado, os invasores redirecionam as tentativas de autenticação.
Quando a máquina de destino solicita um ticket de serviço Kerberos para o Ghost SPN, ela, sem saber, autentica como sua própria conta de computador, que o sistema operacional mapeia para privilégios de nível SYSTEM.
A exploração requer condições específicas: uma máquina Windows unida ao domínio sem assinatura SMB forçada, presença de um SPN Ghost, acesso do usuário do domínio para registrar registros DNS e a capacidade de acionar a autenticação da máquina por meio de técnicas de coerção, como a vulnerabilidade Print Spooler.
Uma vez bem-sucedidos, os invasores obtêm execução remota de código com privilégios SYSTEM. Se a máquina comprometida for um ativo de Nível 0, como um Diretório Ativo No servidor Certificate Services, os invasores podem escalar para comprometimento completo do domínio, afetando potencialmente toda a infraestrutura.
O patch da Microsoft modifica o driver SMB para detectar e encerrar conexões não locais que tentam ataques de reflexão do Kerberos. As organizações devem aplicar imediatamente as atualizações de segurança de outubro de 2025 em todas as versões do Windows.
Além da aplicação de patches, as mitigações críticas incluem impor a assinatura SMB em todas as máquinas unidas ao domínio, auditar e remover regularmente SPNs mal configurados, restringir permissões de gravação de DNS para usuários padrão e monitorar o tráfego Kerberos em busca de solicitações suspeitas de tickets de serviço.
Corrigir vulnerabilidades de coerção conhecidas e desabilitar serviços RPC desnecessários fortalece ainda mais as defesas contra essa cadeia de ataques.
A descoberta sublinhados como elementos de infraestrutura legados, combinados com permissões padrão e fraquezas de autenticação, criam caminhos de ataque exploráveis em ambientes corporativos.
As organizações devem adotar uma abordagem abrangente para lidar com configurações incorretas, controles de acesso e segurança de rede simultaneamente.
Fonte: GBHackers
Veja também:
- Interrupção do Microsoft Azure atinge o mundo todo
- Alertas da CISA sobre exploração ativa da vulnerabilidade WSUS
- Malware DCRat se disfarça de Adobe para roubar dados e enganar usuários
- Alerta sobre segurança de integrações e credenciais
- O vazamento de dados pessoais e a configuração de dano moral
- Ataques de ransomware crescem no Brasil
- Febraban abre curso gratuito de cibersegurança
- Seu robô aspirador pode ser a porta de entrada para um ataque milionário
- Formações gratuitas sobre segurança digital para educadores em Campinas e Sumaré
- Cinco falhas cotidianas que abrem caminho para ataques cibernéticos
- A saúde como alvo estratégico de ataques cibernéticos
- Funcionários colam regularmente segredos da empresa no ChatGPT
Be the first to comment