Ты получил reverse shell на рабочей станции в корпоративном домене. Пользователь - обычный сотрудник бухгалтерии, никаких привилегий. Знакомая ситуация? Первые полгода 2026-го подарили нам рекордное количество LPE-уязвимостей в Windows, и сейчас разберём, как конкретно их крутить на пентесте - от энумерации до SYSTEM-шелла. Без пересказа advisory, только практика и разбор тех механик, о которых Microsoft предпочла промолчать.
Почему локальное повышение привилегий Windows доминирует в 2026
По данным Tenable, апрельский Patch Tuesday 2026 закрыл 163 CVE, и 57.1% из них - Elevation of Privilege. Это не случайность: февральский релиз показал ту же картину - 25 из 58 закрытых уязвимостей связаны с повышением привилегий (данные SecPod).Тренд очевиден: атакующие давно поняли, что начальный доступ - полдела. Фишинг, скомпрометированные учётки, browser exploit - всё это даёт shell от обычного пользователя. Чтобы выключить EDR, прописать persistence, вытащить SAM-базу или дампнуть LSASS - нужен SYSTEM. LPE-уязвимости - тот самый мост между «я могу запустить код» и «я контролирую эту машину».
По MITRE ATT&CK всё, что разберём ниже, укладывается в технику Exploitation for Privilege Escalation (T1068, Privilege Escalation). Но конкретные CVE 2026 года задействуют и смежные техники - о них отдельно.
BlueHammer и CVE-2026-33825 - пять легитимных фич Windows, одна цепочка до SYSTEM
Самая громкая LPE-история 2026 года. 2 апреля исследователь под псевдонимом «Chaotic Eclipse» выложил на GitHub полностью рабочий эксплойт - BlueHammer. Предыстория банальная: по данным AdminByRequest, исследователь ответственно раскрыл уязвимость через MSRC, но остался недоволен процедурой (включая требование видеодоказательств эксплуатации). Итог - 12 дней без патча, с живым PoC в открытом доступе. Классика отношений «ресёрчер vs вендор».Microsoft закрыла уязвимость как CVE-2026-33825 в апрельском Patch Tuesday. Данные NVD: insufficient granularity of access control in Microsoft Defender (CWE-1220), CVSS 7.8 HIGH, вектор
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Если по-человечески: локальный доступ, низкая сложность, минимальные привилегии (PR:L), пользователю ничего нажимать не надо, полный импакт на конфиденциальность, целостность и доступность.Механика цепочки: от Defender-апдейта до SAM-дампа
Красота BlueHammer в том, что ни один компонент Windows по отдельности не «сломан». Эксплойт связывает пять штатных механизмов в цепочку, которая даёт NT AUTHORITY\SYSTEM от обычного пользователя. По данным AdminByRequest, цепочка работает так:- Workflow обновления сигнатур Microsoft Defender - эксплойт инициирует штатное обновление антивирусных сигнатур
- Volume Shadow Copy Service (VSS) - в строго определённый момент обновления создаётся теневая копия тома
- Cloud Files API - манипуляция с файлами через облачные заглушки
- Opportunistic Locks (Oplocks) - временная блокировка файлов для выигрыша в гонке (race condition)
- Symbolic Links - перенаправление операций записи/чтения на защищённые ресурсы
По матрице MITRE ATT&CK эксплойт задействует сразу несколько техник: Exploitation for Privilege Escalation (T1068) как основной вектор, SAM-дамп через VSS - классическая часть Credential Access, восстановление хеша - элемент Defense Evasion.
Критический момент: по данным AdminByRequest, независимые исследователи подтвердили работоспособность эксплойта на полностью пропатченных Windows 10 и Windows 11. На серверных редакциях стабильность ниже. Патч - обновление Defender Antimalware Platform до версии 4.18.26050.3011 и выше. Проверить текущую версию:
Get-MpComputerStatus | Select-Object AMProductVersion.И вот что важно (данные CrowdStrike): патч закрывает конкретную реализацию, а не фундаментальное взаимодействие между пятью компонентами. Сигнатурное детектирование Defender ловило лишь оригинальный бинарник - по данным AdminByRequest, простая перекомпиляция обходила детект. Так что вариации BlueHammer - вопрос времени.
CVE-2026-21533 - повышение привилегий через Windows Remote Desktop
Эта CVE попала в CISA Known Exploited Vulnerabilities Catalog - а это значит, что эксплуатацию зафиксировали в дикой природе, а не в лабе. По данным NVD: improper privilege management in Windows Remote Desktop (CWE-269), CVSS 7.8 HIGH, векторAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. CISA добавила CVE в каталог 10 февраля 2026 с дедлайном на устранение 3 марта 2026.CWE-269 (Improper Privilege Management) - компонент Remote Desktop некорректно управляет уровнем привилегий, и атакующий с низкими правами может подняться до SYSTEM. По информации SecPod, уязвимость обнаружена CrowdStrike в ходе инцидент-респонса, что подтверждает реальную эксплуатацию в атаках.
Affected products и практическое значение
Список затронутых систем масштабный (по данным NVD CPE): Windows 10 1607 (до 10.0.14393.8868), Windows 10 1809 (до 10.0.17763.8389), Windows Server 2016 (до 10.0.14393.8868), Windows Server 2019 (до 10.0.17763.8389), Windows Server 2022 (до 10.0.20348.4711), Windows Server 2025 (до 10.0.26100.32313), Windows 11 23H2, 24H2, 25H2 и Windows Server 2022 23H2.На практике: получив shell на терминальном сервере от имени рядового пользователя RDP-сессии, поднимаешься до SYSTEM - и получаешь доступ к сессиям всех остальных пользователей, включая доменных админов. На одном проекте мы видели терминальник с 40+ одновременными сессиями, из которых три - доменные админы. Представляете blast radius?
Проверка версии ОС на цели:
systeminfo | findstr /B /C:"OS Version" или [System.Environment]::OSVersion.Version. Сравнивайте с пропатченными билдами из CPE-списка выше.CVE-2026-27910 - Windows Installer и вечная проблема msiexec
Windows Installer (msiexec.exe) - один из «любимых» компонентов LPE-исследователей. Каждый год появляются новые способы злоупотребления тем, что служба работает от SYSTEM и обрабатывает пользовательский ввод. CVE-2026-27910 - очередное подтверждение: improper handling of insufficient permissions or privileges (CWE-280), CVSS 7.8 HIGH, векторAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.Почему msiexec - вечная мишень для повышения привилегий через службы Windows
По данным SentinelOne, уязвимость возникает потому, что Windows Installer при обработке MSI-пакетов переключается между контекстами привилегий - часть операций от SYSTEM, часть от имени вызывающего пользователя. Ошибка в валидации permission boundary приводит к тому, что операция, требующая высоких привилегий, выполняется от SYSTEM, хотя инициировал её пользователь без прав. Мелкософт, как обычно, намудрил с разграничением.По MITRE ATT&CK это ложится на Services Registry Permissions Weakness (T1574.011, Persistence / Privilege Escalation / Defense Evasion) - воздействие на сервис с повышенными правами через слабости в проверке разрешений.
На пентесте классический подход - запуск
winPEASany.exe или PowerUp с Invoke-AllChecks, которые автоматически ищут misconfiguration в Windows Installer. Ручная проверка AlwaysInstallElevated:
Код:
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedМитигация до установки патча (данные SentinelOne): через групповую политику ограничить Windows Installer для не администраторов -
Computer Configuration > Administrative Templates > Windows Components > Windows Installer, параметр «Disable Windows Installer» в «Enabled» с опцией «Always». Или через реестр: reg add "HKLM\Software\Policies\Microsoft\Windows\Installer" /v DisableMSI /t REG_DWORD /d 2 /f.CVE-2026-27908 - use-after-free в tdx.sys и путь до SYSTEM
Менее обсуждаемая, но технически интересная штука. По данным NVD: use after free in Windows TDI Translation Driver (tdx.sys) allows an authorized attacker to elevate privileges locally (CWE-416), CVSS 7.0 HIGH, векторAV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H.Обратите внимание на AC:H - высокая сложность. Race condition: нужно выиграть гонку, обратившись к освобождённой памяти до того, как система её переиспользует. Надёжность эксплуатации ниже, чем у предыдущих CVE, но результат тот же - SYSTEM.
Драйвер tdx.sys (TDI Translation Driver) - сетевой компонент ядра, обеспечивающий обратную совместимость с TDI-интерфейсом для драйверов, написанных под старый сетевой стек. Эта штука пришла к нам из прошлого и тянет за собой проблемы. Use-after-free в kernel-mode - потенциальный вектор для выполнения произвольного кода в контексте ядра. По данным Qualys, успешная эксплуатация даёт SYSTEM-привилегии.
По MITRE ATT&CK - Exploitation for Privilege Escalation (T1068). Для этого типа уязвимостей на пентесте обычно нужен готовый PoC; самостоятельная разработка эксплойта под UAF в kernel-mode требует глубокого понимания kernel pool allocation и отладки через WinDbg. Я за такое берусь только если других векторов нет - слишком велик шанс уронить хост в BSOD.
Маппинг LPE-техник 2026 года на MITRE ATT&CK
Одна из проблем русскоязычных материалов - CVE разбирают в отрыве от систематики. Вот как рассмотренные уязвимости и связанные техники ложатся на MITRE ATT&CK:| CVE / Техника | MITRE ATT&CK ID | Тактика | Компонент Windows |
|---|---|---|---|
| CVE-2026-33825 (BlueHammer) | T1068 | Privilege Escalation | Microsoft Defender + VSS + Oplocks |
| CVE-2026-21533 | T1068 | Privilege Escalation | Windows Remote Desktop |
| CVE-2026-27910 | T1574.011 | Persistence, Privilege Escalation, Defense Evasion | Windows Installer (msiexec) |
| CVE-2026-27908 | T1068 | Privilege Escalation | TDI Translation Driver (tdx.sys) |
| Token Impersonation (SeImpersonatePrivilege) | T1134.001 | Defense Evasion, Privilege Escalation | Любая служба с SeImpersonate |
| UAC Bypass | T1548.002 | Privilege Escalation, Defense Evasion | UAC / COM-объекты |
| DLL Search Order Hijacking | T1574.001 | Persistence, Privilege Escalation, Defense Evasion | Сторонний или системный софт |
| DLL Side-Loading | T1574.002 | Persistence, Privilege Escalation, Defense Evasion | Легитимные подписанные EXE |
На реальном пентесте одной техникой обходишься редко. Типичный сценарий: initial access через фишинг, затем T1068 через одну из свежих CVE для LPE до SYSTEM, далее T1134.001 (Token Impersonation) для захвата доменного токена из другой сессии, и T1055 (Process Injection) для закрепления в легитимном процессе.
Пошаговая методология LPE на пентесте: от разведки до SYSTEM
Теория - хорошо, но пройдём полный путь на практике. Допустим, вы в red team операции и получили shell от обычного доменного пользователя на рабочей станции Windows 11 24H2.
Детект и митигация: что ломает LPE-цепочки
Справедливости ради - разберём, что мешает нам на пентестах и что должны делать защитники.UAC Hardening. Microsoft в 2025-2026 серьёзно усилила UAC. По данным Microsoft TechCommunity, начиная с обновлений августа-сентября 2025, Windows привязывает loopback-аутентификацию к machine identity, которая теперь сохраняется между перезагрузками. Раньше артефакты аутентификации переживали рестарт и позволяли обходить token filtering - теперь закрыто. Это напрямую влияет на Bypass User Account Control (T1548.002).
Application Control. BlueHammer требует запуска исполняемого файла. Если на машине настроен AppLocker или WDAC, блокирующий исполнение неподписанных бинарников из пользовательских директорий (%TEMP%, Downloads) - эксплойт не запустится. Один из самых эффективных митигейшенов - не против конкретной CVE, а против целого класса атак. На практике, правда, встречается нечасто - многие боятся сломать бизнес-процессы.
Just-in-Time Privileges. Убирание постоянных локальных admin-прав сокращает blast radius любой LPE. Даже если атакующий поднялся до SYSTEM на одной машине, отсутствие cached credentials от доменных админов ограничивает lateral movement.
Мониторинг. Для CVE-2026-27910 (Windows Installer): Event ID 4688 (Process Creation) для msiexec.exe с подозрительными parent process. Для BlueHammer: аномальная активность VSS (vssadmin, событие VSS 8224), создание symbolic links от непривилегированного пользователя, необычные обращения к SAM.
Вопрос к читателям
CVE-2026-33825 (BlueHammer) эксплуатирует цепочку VSS + Oplocks + Symlinks в контексте Defender update workflow. Патч закрывает конкретную реализацию, но фундаментальное взаимодействие компонентов осталось. У кого в лабе поднят Windows 11 24H2 с Defender 4.18.26050.3011 и выше - пробовали модифицировать цепочку BlueHammer с заменой VSS-триггера на другой источник shadow copy? Например, черезdiskshadow.exe или WMI-класс Win32_ShadowCopy? Какой из альтернативных методов создания snapshot давал доступ к SAM после патча? Делитесь результатами - тема живая.
Последнее редактирование модератором:
