Lỗ hổng Kerberos nghiêm trọng: CVE-2026-20929
Một lỗ hổng Kerberos nghiêm trọng trong quá trình xác thực Windows Kerberos đã được phát hiện, làm gia tăng đáng kể bề mặt tấn công cho các kỹ thuật tấn công chuyển tiếp thông tin xác thực (credential relay attacks) trong môi trường Active Directory.
Bằng cách lạm dụng cách thức máy khách Windows xử lý phản hồi DNS CNAME trong quá trình yêu cầu vé dịch vụ Kerberos, kẻ tấn công có thể ép buộc các hệ thống yêu cầu vé cho các dịch vụ do kẻ tấn công kiểm soát, qua đó bỏ qua các biện pháp bảo vệ truyền thống.
Cơ chế Khai thác Lỗ hổng Kerberos thông qua DNS CNAME Coercion
Cơ chế khai thác của lỗ hổng Kerberos này tập trung vào một hành vi cơ bản: khi máy khách Windows nhận được bản ghi DNS CNAME, nó sẽ theo dõi bí danh đó. Máy khách sau đó xây dựng yêu cầu Dịch vụ Cấp vé (TGS – Ticket Granting Service) bằng cách sử dụng tên máy chủ CNAME làm Tên Dịch vụ Chính (SPN – Service Principal Name).
Kẻ tấn công có vị trí trên đường đi (on-path) để chặn lưu lượng DNS có thể khai thác điểm yếu này. Mục tiêu là buộc nạn nhân yêu cầu vé dịch vụ cho các mục tiêu do kẻ tấn công lựa chọn. Đây là một phương thức hiệu quả để thực hiện các cuộc tấn công mạng.
Yêu cầu Kỹ thuật và Phương pháp MITM
Kỹ thuật này yêu cầu kẻ tấn công phải thiết lập khả năng man-in-the-middle (MITM) đối với DNS. Các phương pháp phổ biến để đạt được điều này bao gồm:
- ARP poisoning: Đầu độc bảng ARP để chuyển hướng lưu lượng.
- DHCPv6 poisoning (MITM6): Lợi dụng cấu hình DHCPv6 để kiểm soát DNS.
- Các phương pháp tương tự khác để chặn và thao túng DNS.
Khi nạn nhân cố gắng truy cập một tài nguyên hợp lệ trong miền, máy chủ DNS độc hại sẽ phản hồi bằng một bản ghi CNAME trỏ đến tên máy chủ do kẻ tấn công kiểm soát. Kèm theo đó là một bản ghi A giải quyết đến địa chỉ IP của kẻ tấn công.
Điều này khiến nạn nhân xác thực chống lại cơ sở hạ tầng của kẻ tấn công, sử dụng một vé dịch vụ đáng lẽ dành cho dịch vụ mục tiêu hợp lệ. Đây là một ví dụ điển hình của việc lợi dụng sự tin cậy trong môi trường Kerberos.
Khả năng Tấn công và Tác động của Lỗ hổng Kerberos
Thử nghiệm đã xác nhận rằng kỹ thuật khai thác này hoạt động trên các cấu hình mặc định của nhiều phiên bản Windows, bao gồm:
- Windows 10
- Windows 11
- Windows Server 2022
- Windows Server 2025
Cuộc tấn công thành công đối với các dịch vụ không được bảo vệ, bao gồm SMB, HTTP và LDAP, khi cơ chế ký (signing) hoặc Mã thông báo ràng buộc kênh (CBT – Channel Binding Tokens) không được thực thi. Điều này cho thấy phạm vi ảnh hưởng rộng của lỗ hổng Kerberos này.
Lỗ hổng này đã được tiết lộ một cách có trách nhiệm cho Microsoft vào tháng 10 năm 2025.
Phản hồi và Bản vá bảo mật của Microsoft
Đáp lại, Microsoft đã triển khai hỗ trợ CBT cho HTTP.sys. Hãng đã phát hành các bản vá bảo mật cho các phiên bản Windows Server được hỗ trợ trong các bản cập nhật bảo mật tháng 1 năm 2026, được theo dõi dưới dạng CVE-2026-20929.
Tuy nhiên, biện pháp giảm thiểu này chỉ giải quyết các kịch bản chuyển tiếp HTTP. Nguyên tắc ép buộc DNS CNAME cơ bản vẫn không thay đổi, khiến các giao thức khác vẫn dễ bị tổn thương bởi lỗ hổng Kerberos này.
Công cụ Khai thác và Nghiên cứu
Các nhà nghiên cứu đã phát hành một phiên bản sửa đổi của công cụ MITM6 trên GitHub với khả năng đầu độc CNAME. Công cụ này hỗ trợ đầu độc CNAME có mục tiêu chống lại các miền cụ thể hoặc tất cả các truy vấn DNS.
Công cụ bao gồm chế độ chỉ DNS để tích hợp đầu độc ARP, và cho phép chuyển tiếp cho kết nối hạ tầng quan trọng. Việc khai thác yêu cầu Python 3.x và một hệ điều hành Linux.
# Cài đặt công cụ (ví dụ trên Linux)python3 -m pip install mitm6==1.0.1 # Phiên bản có tính năng CNAME poisoning# Chạy MITM6 với CNAME poisoning nhắm mục tiêumitm6 -i eth0 --target-cname example.com:attacker.example.com --dns-ip --dns-port 53# Chạy MITM6 ở chế độ chỉ DNS để tích hợp với ARP poisoningmitm6 -i eth0 --only-dns --dns-ip --dns-port 53 Mã nguồn và hướng dẫn chi tiết có thể được tìm thấy tại: GitHub – MITM6-Kerberos-CNAME-Abuse.
Biện pháp Giảm thiểu và Phòng vệ cho Lỗ hổng Kerberos
Nghiên cứu của Cymulate Research Labs đã đưa ra các khuyến nghị quan trọng cho các tổ chức để triển khai phòng thủ nhiều lớp nhằm chống lại lỗ hổng Kerberos này.
Nghiên cứu này nhấn mạnh một thực tế bảo mật quan trọng: bản thân Kerberos không có khả năng ngăn chặn các cuộc tấn công chuyển tiếp. Việc thực thi các biện pháp bảo vệ nằm ở cấp độ dịch vụ.
Các tổ chức không nên chỉ dựa vào việc vô hiệu hóa NTLM. Thay vào đó, cần phải thực thi rõ ràng các biện pháp bảo vệ chống chuyển tiếp trên mọi dịch vụ hỗ trợ Kerberos để loại bỏ rủi ro chuyển tiếp một cách hiệu quả. Đây là điều kiện tiên quyết để đảm bảo an toàn cho môi trường Active Directory khi đối mặt với CVE nghiêm trọng như thế này.
Thông tin chi tiết về nghiên cứu có thể tham khảo tại: Cymulate Research Labs Blog.
Các Biện pháp Phòng vệ Chuyên sâu
- Triển khai Channel Binding Tokens (CBT) và Ký kết (Signing): Đảm bảo rằng tất cả các dịch vụ hỗ trợ Kerberos (SMB, HTTP, LDAP, v.v.) được cấu hình để yêu cầu CBT và/hoặc ký kết cho các phiên xác thực. Điều này giúp ngăn chặn các cuộc tấn công chuyển tiếp bằng cách ràng buộc phiên xác thực với kênh mạng cụ thể.
- Giám sát và Phát hiện DNS bất thường: Theo dõi lưu lượng DNS để phát hiện các bản ghi CNAME hoặc A bất thường trỏ đến các IP không mong muốn, đặc biệt là trong các phản hồi cho các yêu cầu SPN.
- Phân đoạn mạng: Giảm thiểu khả năng của kẻ tấn công trong việc thực hiện các cuộc tấn công MITM (như ARP poisoning hoặc DHCPv6 poisoning) bằng cách triển khai phân đoạn mạng hiệu quả.
- Giới hạn quyền truy cập và Nguyên tắc Đặc quyền Tối thiểu (Least Privilege): Đảm bảo rằng các tài khoản dịch vụ chỉ có các quyền cần thiết. Điều này làm giảm tác động nếu một tài khoản bị chiếm đoạt thông qua một lỗ hổng Kerberos.
- Cập nhật hệ thống định kỳ: Luôn đảm bảo rằng tất cả các hệ thống Windows được cập nhật với các bản vá bảo mật mới nhất từ Microsoft để khắc phục các lỗ hổng đã biết.
Hiểu rõ và chủ động trong việc áp dụng các biện pháp phòng vệ là chìa khóa để bảo vệ môi trường Active Directory khỏi các tấn công mạng tinh vi sử dụng kỹ thuật chuyển tiếp Kerberos.
