Kerberos в Windows Server 2025: срочная установка патча

В августовском обновлении Patch Tuesday компания Microsoft исправила критическую уязвимость нулевого дня в системе аутентификации Kerberos для Windows Server 2025. Эта уязвимость впервые была раскрыта в мае и является серьезной угрозой для безопасности.

Уязвимость представляет собой относительную передачу пути в обработке управляемых учётных записей домена (dMSA), особенно атрибута msds-ManagedAccountPrecededByLink. Ошибка позволяет злоумышленникам с высокой привилегией перемещаться по каталогам и имитировать пользователей с более высокими привилегиями, что подрывает делегирование Kerberos в Active Directory.

Опасность эксплуатации и срочность обновления

Пострадавшие системы включают в себя контроллеры домена Windows Server 2025 с запущенными службами домена Active Directory и среды, в которых используются dMSA. Для эксплуатации требуется наличие специфических атрибутов dMSA и высокие привилегии, но многие организации используют такие учётные записи.

Информационная безопасность призывает срочно установить обновления, поскольку код эксплуатации уже доступен и может быть использован в комплексных цепочках атак. Исправление входит в число 107 уязвимостей, устранённых Microsoft в августе.

Другие важные исправления

Кроме этого, в советах по безопасности уделяется внимание и другим важным исправлениям, выпущенным в этот раз. В частности, устранены уязвимости, связанные с искусственным интеллектом в Azure OpenAI и GitHub Copilot, многочисленные недостатки в Microsoft Office и графической системе Windows, которые могут быть использованы с минимальным взаимодействием пользователя.

Также был исправлен баг с повышением привилегий в Hyper-V, который мог привести к побегу из виртуальной машины, и критические патчи внедрения кода в SAP S/4HANA.

Организациям рекомендуется провести инвентаризацию использования ИИ, оценить степень воздействия и приоритизировать установку патчей исходя из доступа и потенциального воздействия угроз.

Обновлено: 26.08.2025