CVE-2026-45648: AD DS 栈溢出远程代码执行漏洞分析
CVE-2026-45648: Active Directory Domain Services 栈溢出远程代码执行漏洞深度分析
0x01 漏洞背景与详情
CVE-2026-45648 是微软 Active Directory Domain Services (AD DS) 中的一个高危远程代码执行漏洞。它不是匿名互联网直打型漏洞,而是更典型的“已获得域内认证身份后,继续打域控”的高价值后渗透漏洞。由于目标是域控目录服务,一旦利用成功,后果通常不是单机失陷,而是整域身份体系被攻破。
- CVE ID: CVE-2026-45648
- 危险等级: 高危 (High, CVSS 8.8)
- 漏洞类型: Stack-based Buffer Overflow (
CWE-121) - 攻击前提: 攻击者需具备已认证域身份
- 核心风险: 通过网络触发 AD DS 内存破坏,在域控上下文执行代码
0x02 漏洞原理分析
公开信息虽然不多,但已经足够定位其攻击面和价值:
漏洞位于 AD DS 的 NSPI RPC 接口相关路径: 微软公开摘要指出,攻击者需要能访问
NSPI RPC interface。NSPI本身是名称服务提供者接口,常用于地址簿和目录查询场景。本质是栈缓冲区溢出: 说明某些输入在经过目录服务处理时,可能写入到固定大小的栈缓冲区中,长度约束或边界检查不足,从而造成栈内存破坏。
已认证并不等于低风险: 很多组织会低估“已认证攻击者”类型漏洞,但在 AD 场景中,这意味着任何一个已沦陷工作站上的低权限域用户,都可能被拿来继续打域控。
目标是域控服务上下文: 与普通业务服务不同,AD DS 是身份基础设施核心。一旦在该上下文稳定执行代码,后续就可能迅速走向:
- 凭据窃取
- 票据伪造
DCSynckrbtgt被窃取- 整域持久化
0x03 漏洞 POC (Proof of Concept)
截至目前,未见权威公开 PoC。对这类域控漏洞,更合理的是做安全实验室验证。
验证思路
- 在隔离环境部署未修复的域控。
- 准备低权限域账户作为触发主体。
- 对
NSPI RPC做协议边界测试,重点关注:- 长度字段
- 属性数组
- 字符串边界
- 结构体计数
- 观察是否出现:
- 目录服务异常
- RPC 绑定失败
WER dump- 域服务短暂不可用
验证原则
对防守团队而言,验证目标应是“能否导致目录服务崩溃或异常”,而不是尝试在域控上拿代码执行。
0x04 高级实战利用姿势 (Weaponization)
典型的后渗透放大器: 该漏洞最现实的利用链不是作为初始入口,而是攻击者已通过钓鱼、弱口令、票据窃取等拿到任意域身份后,用它来直接攻击 DC。
从低权限域用户到整域控制: 这类漏洞一旦可稳定利用,后续最危险的动作包括:
- 读取目录服务内存
- 窃取高权限令牌
- 发起
DCSync - 伪造票据
- 修改组策略或账户权限
自动化传播性较低,但打击价值极高: 由于需要已认证身份,它不像匿名蠕虫那样易于大规模横扫;但它打的是 DC,因此一旦成功,对企业的破坏半径极大。
风险常被低估: 企业往往更重视“匿名 RCE”,却忽略“任意已认证域用户可打域控”同样足够致命。尤其在终端普遍存在域账号缓存和横向可能性的环境中,这类漏洞优先级应很高。
0x05 应急排查与日志痕迹分析
网络侧重点: 关注异常工作站或跳板机是否频繁访问域控的:
TCP/135- 动态 RPC 高位端口
域控主机异常: 重点检查:
WERApplication ErrorLSASS或目录服务异常- 异常重启
- 服务短暂不可用
AD 侧连锁异常: 若域控被异常打崩,周边系统可能出现:
RPC server unavailable- 复制失败
repadmin/dcdiag异常- 身份认证短时波动
时间线关联: 重点把“低权限账号访问域控 RPC”与“目录服务异常”关联分析,而不是孤立看单条报错。
0x06 修复与缓解建议
立即安装 2026-06 安全更新:
- Windows Server 2022:升级到
20348.5256或更高 - Windows Server 2025:升级到
26100.32995或更高
- Windows Server 2022:升级到
收敛域控 RPC 暴露面: 审查哪些网段、哪些主机真的需要与 DC 建立 RPC 通信。普通办公终端不应具备过宽的直连域控 RPC 能力。
把域内任意凭据泄露视为高危前置条件: 这类漏洞的真正前提不是“管理员被偷”,而往往只是“任意有效域账户被拿到”。
加强域控异常监控: 对以下行为建立关联告警:
- 低权限账号异常访问 DC RPC
- 域控服务崩溃
- 认证中断
- 复制异常