U središtu najnovijih sigurnosnih upozorenja u IT svijetu našla se ozbiljna ranjivost pod oznakom CVE-2026-26119, otkrivena u Microsoftovom Windows Admin Centeru.
Radi se o centraliziranom alatu za upravljanje Windows okruženjima koji koriste IT administratori diljem svijeta.
Portal Help Net Security stoga spominje da je riječ o kritičnoj ranjivosti za eskalaciju privilegija, koja može omogućiti napadaču da s minimalnim pristupom poveća svoju razinu prava i praktički preuzme kontrolu nad uređajima i serverima u organizaciji.
U nastavku u detalje saznajte kakve je to ranjivost. Zatim, kako funkcionira, zašto predstavlja velik sigurnosni rizik i što IT profesionalci i CISOs moraju učiniti da zaštite svoje sustave.
Važnost Windows Admin Centra
Admin Center je web-bazirana konzola za upravljanje Windows serverima, klijentima, virtualnim strojevima, klasterima i drugim infrastrukturnim resursima.
Dizajniran je da zamijeni tradicionalne upravljačke alate s jedinstvenim, lokalno hostanim sučeljem bez potrebe za cloud integracijom.
Za mnoge tvrtke i organizacije WAC je postao središnji upravljački alat.
Koristi se za sljedeće radnje:
- administriranje Windows servera i Hyper-V hostova
- upravljanje Active Directory okruženjem
- centralizirano vođenje IT infrastrukture
- monitoring i konfiguraciju sustava
Tolika je odgovornost WAC-a da bi svaki ozbiljan sigurnosni propust mogao imati dalekosežne posljedice.
Zato je CVE-2026-26119 okarakterizirana kao kritična prijetnja.
Što konkretno znači CVE-2026-26119?
CVE-2026-26119 je ranjivost koja se klasificira kao improper authentication (pogrešno rukovanje autentifikacijom) i omogućava napadaču da eskalira privilegije.
Drugim riječima, napadač koji već ima osnovni pristup sustavu može ga iskoristiti da dobije prava korisnika s većim ovlastima, bez dodatne interakcije korisnika.
Prema NIST-ovoj bazi podataka o ranjivostima (CVE / CVSS):
- Identifikator: CVE-2026-26119
- Temeljna slabost: CWE-287 – Improper Authentication
- CVSS ocjena: 8.8 (High). Podatak pokazuje da je riječ o ozbiljnoj i potencijalno vrlo opasnoj ranjivosti.
Ova ocjena jasno pokazuje da se propust može iskoristiti preko mreže, bez potrebe za fizičkim pristupom sustavu. Također, pokazuje da je složenost napada relativno niska, što ga čini dostupnim širem krugu napadača.
Posebno zabrinjava činjenica da za uspješnu eksploataciju nije potrebna dodatna interakcija korisnika. Tada je smanjena mogućnost pravovremene reakcije i povećan rizik od neprimijećenog napada.
U slučaju uspješne zlouporabe, posljedice mogu biti ozbiljne jer ranjivost ima visok utjecaj na tajnost, integritet i dostupnost sustava, potencijalno omogućujući kompromitaciju osjetljivih podataka i destabilizaciju cijele IT infrastrukture.
Kako CVE-2026-26119 djeluje?
Tehnički, problem leži u pogrešnoj autentikaciji unutar Windows Admin Center-a.
Iz nje vidimo da određeni dijelovi procesa provjere identiteta ili autorizacije ne funkcioniraju pravilno, pa napadač s postojećim validnim, ali niskim privilegijama, može:
- zaobići sigurnosne provjere
- podići prava na administrativnu razinu
- potajno koristiti WAC sučelje za naredbe koje bi inače zahtijevale visoke privilegije
- potencijalno preuzeti ključne sustave i podatke
Takav način iskorištavanja ranjivosti može omogućiti i lateralno kretanje kroz mrežu, odnosno širenje napada od servera do servera.
Jasno je da se tada čak dramatično povećava rizik ozbiljnog kompromitiranja cijele infrastrukture.
Oznaka visoke rizičnosti
Postoji nekoliko razloga zašto je CVE-2026-26119 ocijenjena kao visoko rizična:
1. Centralizirani upravljački alat
Windows Admin Center obično se koristi za centralno upravljanje više resursa . Stoga bilo kakav propust u njegovom kodu postaje ulazna točka za daleko širi utjecaj napada.
2. Mrežno iskorištavanje
Ranjivost se može aktivirati preko mreže. Znači da je potencijalno dostupna napadačima koji su geografski udaljeni ili su pristup već dobili kroz kompromitaciju manje privilegiranog računa.
3. Niska složenost napada
Za iskorištavanje ranjivosti ne treba kompleksni napadački setup niti interakcija žrtve. Napad se može izvesti tiho, bez dodatnih promptova ili potvrda.
4. Visok utjecaj
Ako napadač uspije u eskalaciji privilegija, može steći prava korisnika pod kojim se WAC izvršava, što je često administrativni ili sistemski račun. Napadi tada postaju učestaliji.
Stiže li zakrpa?
Microsoft je priznao i zakrpao ranjivost u Windows Admin Center verziji 2511, koja je objavljena još u prosinac 2025. godine. Sv se odvilo prije nego što je CVE javno objavljen medijima.
Takva praksa je poprilično česta. Počinje na način da proizvođači prvo razvijaju i distribuiraju zakrpu, a tek potom objavljuju detalje ranjivosti kako bi se spriječilo da napadači iskoriste propust prije nego organizacije imaju priliku ažurirati sustave.
Iako Microsoft nije potvrdio aktivnu zlouporabu ove ranjivosti u stvarnom svijetu (“in the wild”), sam CVSS rezultat i analiza ukazuju na to da je eksploatacija vjerojatnija zbog prirode ranjivosti i lakoće iskorištavanja.
Administratori i sigurnosni timovi pozivaju korisnike da:
- osiguraju da su svi WAC instance ažurirani na verziju 2.6.4 ili noviju.
- kontinuirano provjeravaju verzije na svim serverima i jump hostovima.
- ne ostavljaju pristupne točke izložene vanjskim mrežama bez dodatnih zaštita.
Tvrtke mogu smanjiti rizik
Upravo zato što je riječ o ranjivosti visokog rizika, samo instaliranje zakrpe nije dovoljno. Tvrtke moraju razmotriti dodatne sigurnosne mjere:
Ograničavanje pristupa WAC sučelju samo na povjerljive administrativne mreže smanjuje rizik da napadači iz vanjskih mreža uopće dođu do ranjive instance Windows Admin Centera koju bi mogli iskoristiti za eskalaciju privilegija.
Korištenje računa s minimalnim potrebnim pravima umjesto stalnog korištenja administratorskih računa može limitirati štetu u slučaju kompromitacije.
Višefaktorska autentifikacija (MFA)
Iako MFA možda neće samostalno spriječiti eskalaciju privilegija unutar WAC-a, definitivno može otežati ulazak napadača s ukradenim ili slabim vjerodajnicama.
Monitoring i evidentiranje anomalija
Sustavi za praćenje događaja i netipičnog ponašanja korisnika mogu pomoći otkriti pokušaje eskalacije prije nego se dogodi ozbiljna šteta.
Administracija više nije sigurna zona
Za CISOs i IT operativne timove, CVE-2026-26119 jasno pokazuje da sustavi za centralizirano upravljanje infrastrukturom više ne mogu biti promatrani kao zatvoreno i sigurno okruženje. Izgleda je visoko vrijedna napadačka površina.
Kompromitacija takvog sustava može značiti kompromitaciju cijele mreže. Vidimo da omogućuje pristup serverima, korisničkim računima i konfiguracijama.
Moramo platforme poput Windows Admin Centera tretirati s istim stupnjem opreza kao javno izložene aplikacije.
Tvrtke obavezno moraju imati redovite sigurnosne provjere, prioritetno upravljanje zakrpama, strogo definirane pristupne politike, segmentaciju mreže i unaprijed razrađene planove odgovora na incidente.
To “moranje” posebno se odnosi na tvrtke koji uključuju eskalaciju privilegija.
Ranjivost koja se dogodila nas podsjeća da sigurnosna ažuriranja, kontrola pristupa i mrežna izolacija nisu dio neke formalnosti koja se radi tek tako.
Obrambenih mjera nikad dovoljno!
