Уязвимость BDU:2026-02974 (CVE-2026-24294) в Windows

Уязвимость CVE-2026-24294 (BDU:2026-02974) затрагивает сервера SMB на ОС Windows и связана с недостатками процедуры аутентификации при использовании клиентской возможности подключения к общим ресурсам на произвольных TCP-портах. Эта функция позволяет монтировать SMB-шару командой net use \\server\share /tcpport:PORT. В сочетании с мультиплексированием сессий SMB и классической техникой Kerberos/NTLM-аутентификации (PetitPotam) локальный пользователь без прав администратора способен заставить службу LSASS (SYSTEM) пройти NTLM-аутентификацию на подконтрольный ему SMB-сервер, работающий на нестандартном порту. Перехваченный NTLM-блоб затем ретранслируется обратно на стандартный порт 445 того же хоста, что приводит к повышению привилегий до NT AUTHORITY\SYSTEM.

Анализ уязвимости

Уровень опасности: 7.8 HIGH

Вектор атаки: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

• AV (Вектор доступа): L (локальный) — атакующему требуется локальный доступ к целевой системе.
• AC (Сложность атаки): L (низкая) — эксплуатация не требует специальных условий или подготовки.
• PR (Требуемые привилегии): L (низкие) — достаточно прав обычного пользователя.
• UI (Взаимодействие с пользователем): N (не требуется) — жертве не требуется совершать каких-либо действий.
• S (Влияние на другие компоненты): U (не оказывает) — уязвимость не выходит за пределы скомпрометированного компонента.
• C (Конфиденциальность): H (высокое) — полное нарушение конфиденциальности.
• I (Целостность): H (высокое) — полное нарушение целостности.
• A (Доступность): H (высокое) — полное нарушение доступности.

Рассмотрение кода эксплоита в этой статье выполняется исключительно для понимания технических деталей вектора атаки, чтобы специалисты по информационной безопасности могли эффективно выстроить защиту и обнаруживать попытки эксплуатации.

Уязвимые версии ОС:

• Windows Server 2012 R2 — до 6.3.9600.23074
• Windows Server 2012 — до 6.2.9200.25973
• Windows 10 1607 — до 10.0.14393.8957 (32-bit, 64-bit)
• Windows Server 2016 — до 10.0.14393.8957
• Windows 10 1809 — до 10.0.17763.8511 (32-bit, 64-bit)
• Windows Server 2019 — до 10.0.17763.8511
• Windows 10 21H2 — до 10.0.19044.7058 (32-bit, 64-bit, ARM64)
• Windows 10 22H2 — до 10.0.19045.7058 (32-bit, 64-bit, ARM64)
• Windows Server 2022 — до 10.0.20348.4893 / 10.0.20348.4830
• Windows Server 2022, 23H2 Edition — до 10.0.25398.2207
• Windows 11 23H2 — до 10.0.22631.6783 (64-bit, ARM64)
• Windows 11 24H2 — до 10.0.26100.8037 / 10.0.26100.7979 (64-bit, ARM64)
• Windows Server 2025 — до 10.0.26100.32522 / 10.0.26100.32463
• Windows 11 25H2 — до 10.0.26200.8037 / 10.0.26200.7979 (64-bit, ARM64)
• Windows 11 26H1 — до 10.0.28000.1719 (64-bit, ARM64)

Условия эксплуатации

Атака осуществима при следующих условиях:

🔒 Условия эксплуатации и ссылки на эксплоиты — только в закрытом канале

На блоге: CVE, CVSS, вектор атаки — информация из открытых источников.

В канале: уникальный анализ, который позволяет:

• Понять, применима ли уязвимость к вашим системам
• Получить ссылки на эксплоиты для проверки своих систем
• Еженедельно получать разборы новых уязвимостей

Подробнее о канале → | Пример разбора