Lỗ hổng bảo mật CVE-2025-26647 và các biện pháp bảo vệ

09/04/2025
2 mins read


Tổng quan về lỗ hổng

  • CVE-2025-26647: Lỗ hổng này xảy ra khi một chứng chỉ quyền (CA) nằm trong cửa hàng gốc của Windows nhưng không nằm trong cửa hàng NTAuth, và một Chỉ số Khóa Chủ đề (SKI) có mặt trong một tài khoản có quyền.
  • Tác động: Vấn đề cho phép kẻ tấn công nâng cao quyền hạn, dẫn đến các rủi ro bảo mật.

Bảo vệ và khuyến nghị

  • Cập nhật Windows: Lỗ hổng được khắc phục trong các bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 8 tháng 4 năm 2025. Các bản cập nhật này thêm hành vi mới để phát hiện lỗ hổng nâng cao quyền hạn nhưng không thực thi ngay lập tức.
  • Cài đặt khóa Registry: Để kích hoạt hành vi mới và bảo vệ khỏi lỗ hổng, cài đặt khóa Registry AllowNtAuthPolicyBypass cần phải được đặt thành 2.
  • Lịch trình thay đổi:
    • Ngày 8 tháng 4 năm 2025: Giai đoạn triển khai ban đầu với các bản cập nhật thêm hành vi mới nhưng không thực thi.
    • Ngày 8 tháng 7 năm 2025: Các bản cập nhật sẽ thực thi kiểm tra cửa hàng NTAuth theo mặc định. Cài đặt khóa Registry AllowNtAuthPolicyBypass vẫn cho phép khách hàng quay lại chế độ Audit nếu cần.
    • Ngày 14 tháng 10 năm 2025: Tất cả các chứng chỉ phải được cấp phát bởi các quyền hạn nằm trong cửa hàng NTAuth. Microsoft sẽ ngừng hỗ trợ cho khóa Registry AllowNtAuthPolicyBypass.

Cài đặt Registry

Các cài đặt khóa Registry sau đây liên quan:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc:
    • AllowNtAuthPolicyBypass:
      • 0: Vô hiệu hóa hoàn toàn thay đổi.
      • 1: Thực hiện kiểm tra NTAuth và ghi lại một sự kiện cảnh báo cho thấy chứng chỉ được cấp phát bởi một quyền không nằm trong cửa hàng NTAuth (chế độ Audit).
      • 2: Thực hiện kiểm tra NTAuth và nếu thất bại, không cho phép đăng nhập. Ghi lại các sự kiện bình thường cho một lỗi AS-REQ với mã lỗi chỉ ra rằng kiểm tra NTAuth đã thất bại.

Sự kiện Audit

  • Sự kiện cảnh báo:
    • 45: Trung tâm Phát phân phối Khóa (KDC) đã gặp chứng chỉ của khách hàng mà hợp lệ nhưng không được nối với một gốc trong cửa hàng NTAuth. Hỗ trợ cho các chứng chỉ không nối với cửa hàng NTAuth là không an toàn và bị lãng quên.
    • 21: Chứng chỉ của khách hàng cho người dùng là hợp lệ, nhưng tình trạng chuỗi cho thấy một trong các chứng chỉ CA không được nhà cung cấp chính sách tin tưởng.

Tóm tắt

Để bảo vệ chống lại CVE-2025-26647, rất quan trọng để cập nhật tất cả các bộ điều khiển miền với các bản cập nhật Windows mới nhất phát hành vào hoặc sau ngày 8 tháng 4 năm 2025. Theo dõi các sự kiện mới trên các bộ điều khiển miền để xác định các quyền chứng chỉ bị ảnh hưởng và kích hoạt chế độ Thực thi khi môi trường không còn sử dụng chứng chỉ đăng nhập được cấp phát bởi các quyền không trong cửa hàng NTAuth cũng được khuyến nghị.