一、漏洞现状与真实危害:在野利用的AD FS致命漏洞
2026年7月14日,CISA正式将CVE-2026-56155纳入KEV已知在野利用漏洞清单。不同于普通零日漏洞的概念性风险,该漏洞现阶段已经出现公开化、轻量化的利用工具,黑产团队将其整合进内网渗透批量扫描脚本,只要探测到未加固AD FS节点,就会自动尝试读取DKM密钥,全程自动化落地攻击。目前政企、金融、互联网、制造业的大量内网AD FS服务器普遍存在加固滞后问题,多数仅开放内网访问、无公网暴露,运维长期忽略其安全风险,导致身份信任根完全裸奔。
一线运维普遍存在认知误区:认为AD FS仅对内提供SSO服务,不暴露公网、无对外开放端口,就不会被攻击。真实内网渗透链路中,攻击者的突破入口往往不是公网,而是员工终端、内网弱口令、业务漏洞。
攻击者只要拿下任意普通域权限终端,无需域管权限、无需服务器高权限,即可在内网横向扫描定位AD FS节点。依托CVE-2026-56155的低权限利用特性,直接读取签名私钥。私钥一旦落地,攻击者可以脱离所有账号体系约束,伪造任意用户、任意权限的SAML令牌,企业现有的密码策略、登录风控、MFA多因素认证全部失效,OA、CRM、云办公、运维堡垒机、云资源控制台会被全程接管。
漏洞基础信息
CVE编号:CVE-2026-56155
风险等级:高危 CVSS 7.8
利用条件:低权限本地账号即可触发,无需管理员权限
核心影响:DKM容器ACL权限宽松,低权限用户可读取令牌签名私钥,实现黄金SAML持久化攻击
修复节奏:微软分阶段灰度修复,7月补丁开启审计日志,10月13日全网强制修复
二、AD FS与DKM核心原理:读懂漏洞根源
2.1 AD FS联合身份体系运行机制
AD FS是Windows域生态下核心的联合身份验证组件,专门解决跨系统、跨域名、跨公私网的单点登录需求。现在绝大多数企业的办公体系高度依赖AD FS,Office 365全家桶、企业自研云平台、内网OA、审批系统、运维堡垒机、VPN登录校验,基本都接入了AD FS联合认证。员工日常登录业务系统,无需重复输入账号密码,本质就是依赖AD FS完成身份确权、签发合法SAML身份令牌。
很多人只关注账号密码是否正确,却忽略了SAML认证的底层逻辑。整套身份体系的信任支点从来不是用户密码,而是AD FS的令牌签名私钥。AD FS在确认用户身份合法后,会使用专属私钥对SAML令牌进行加密签名,下游所有业务系统只校验令牌签名的合法性,不会二次校验用户身份。只要签名无误,系统就判定访问请求可信,直接放行授权。
这也决定了签名私钥是企业身份体系的最高权限凭证,其安全性直接决定整个SSO体系的可信度。
2.2 DKM容器核心作用与存储结构
DKM分布式密钥管理器是AD FS专属的密钥托管服务,也是整套身份体系的核心机密仓库。常规Windows证书库适合存储单机静态证书,无法满足AD FS集群多节点同步、分布式调用、热更新密钥的业务需求。
微软为此设计独立DKM容器,所有AD FS核心密钥统一托管、统一同步、统一调用,多节点集群环境下,密钥可以自动同步至所有节点,保证多服务器认证一致性,不影响业务连续性。
DKM容器内部托管的密钥直接决定企业所有SSO业务的安全边界,核心包含三类机密数据:长期生效的主令牌签名私钥、故障冗余的备用签名私钥、跨域联合加密密钥。在安全合规的生产环境中,这个容器不允许任何无关账号访问,仅AD FS服务运行账户、本地系统账户、授权运维管理员拥有最小粒度的读写调用权限,普通域用户、认证用户必须完全无权限。
2.3 漏洞根本成因拆解
Windows Server在默认安装AD FS角色后,系统自动初始化DKM容器的ACL权限,默认配置完全偏向业务兼容性,牺牲了安全边界。系统会默认给Authenticated Users(所有已认证用户)、Domain Users(所有域用户)开放基础读取权限,目的是避免初期部署时出现密钥调用失败、SSO报错等问题。但这种宽松权限完全不满足生产安全基线,给低权限越权读取密钥留下了可利用通道。
漏洞利用门槛极低,攻击者不需要本地管理员权限,不需要复杂提权EXP,不需要组合多个漏洞,只要拿到任意一个普通域用户、本地低权限账号的会话,就能直接遍历DKM容器目录、读取密钥配置、导出完整签名私钥。这也是该漏洞被CISA列入KEV、全网重点预警的核心原因:利用成本几乎为零、攻击成功率百分之百、危害直达企业身份根信任,隐蔽性强到可以长期潜伏不被发现。
三、在野攻击链完整拆解与攻击架构
3.1 端到端攻击流程
目前黑产在野攻击链路已经完全标准化、工具化,不需要高水平渗透技巧,新手脚本小子也能一键完成全套攻击流程。多数内网入侵场景,攻击者都是从员工终端作为突破口,无需触碰公网边界设备。
攻击者通过钓鱼邮件、内网弱密码爆破、终端漏洞利用等方式,拿下内网普通员工终端,获取普通域用户权限
对内网进行端口扫描、服务探测,定位389、443端口开放的AD FS服务器节点
通过横向移动、账号复用,登录AD FS服务器获取低权限会话
利用CVE-2026-56155权限缺陷,读取DKM容器数据,导出令牌签名私钥
基于私钥伪造任意账号SAML令牌,包含域管理员、超管、业务系统特权账号
使用伪造令牌登录各类SSO业务系统,窃取数据、创建后门、持久化驻留
清除部分日志,保留隐蔽持久化权限,长期控制企业身份体系
3.2 攻击架构流程图
A[员工终端沦陷] -->|弱口令/钓鱼/本地漏洞| B[获取普通域低权限]
B --> C[内网端口扫描 443/389]
C --> D[定位AD FS认证节点]
D --> E[横向登录AD FS低权限会话]
E --> F[利用CVE-2026-56155读取DKM容器]
F --> G[导出SAML签名私钥]
G --> H[自定义伪造高权限SAML令牌]
H --> I[绕过密码/MFA/IP白名单]
I --> J[入侵SSO/云服务/堡垒机]
J --> K[留后门/改权限/长期驻留]
A[内网终端沦陷] – 低权限域账号 --> B[探测AD FS节点]
B – 横向移动登录 --> C[AD FS低权限会话]
C – CVE-2026-56155漏洞利用 --> D[读取DKM容器私钥]
D – 密钥复用 --> E[伪造SAML高权限令牌]
E – 绕过密码/MFA --> F[入侵SSO/云服务/业务系统]
F – 持久化配置 --> G[长期权限驻留]
3.3 黄金SAML攻击核心危害解析
很多企业投入大量成本部署MFA多因素认证、密码复杂度策略、异地登录拦截、IP白名单机制,但这些防护全部作用于用户登录前置环节。黄金SAML攻击不触碰账号登录流程,直接从信任根层面伪造合法令牌,所有前置安全校验会被直接绕过。这也是很多企业明明防护齐全,却依旧被深度入侵的核心原因。
攻击者拿到私钥后的权限自由度极高,可以自主定义SAML令牌的所有参数。常规系统签发令牌有效期通常为1小时至1天,攻击者可以手动设置有效期为数月甚至数年。只要私钥不轮换、不废弃,攻击者就拥有永久合法的登录凭证。企业后续修改全员密码、重置域权限、清理陌生账号,都无法清除这部分非法权限,唯一有效的止损手段只有立刻轮换全部签名密钥、彻底收紧DKM容器权限。
四、微软分阶段修复机制深度解读(避坑重点)
微软采用分阶段灰度修复,核心顾虑是大量传统政企、老旧行业存在定制化联合认证业务。部分第三方业务系统、老旧OA、自研平台的对接逻辑依赖宽泛的DKM权限,直接强制收紧权限会导致SSO全线瘫痪。但对攻击者而言,分阶段修复等于超长免杀窗口期。企业绝对不能被动等待10月自动修复,必须主动人工干预加固,否则在未来数月内持续暴露风险。
4.1 第一阶段:2026年7月补丁(审计监测期)
安装KB5121391月度安全补丁后,服务器不会修改任何ACL权限,不会封堵漏洞。系统仅新增Event ID 1132日志事件,专门记录DKM容器的异常访问行为。
7月补丁的核心价值不是修复漏洞,而是风险摸底。开启1132日志后,运维可以清晰看到所有DKM异常访问主体、访问时间、访问频次,判断内网是否已经存在扫描和试探行为。目前绝大多数企业的现状是:打了补丁但完全没配置日志监控,漏洞依旧可以被无感知利用,服务器默默记录攻击日志,运维全程不知情,风险长期潜伏。
4.2 第二阶段:2026年10月13日(强制修复期)
10月月度补丁上线后,微软会自动重置所有AD FS服务器的DKM容器ACL权限,批量删除宽泛授权规则,彻底封堵该漏洞。
这里是生产环境最高频的踩坑点:10月微软自动修复是全局强制ACL重置,不会适配企业个性化业务。老旧定制对接、第三方联合信任、跨域互通业务,大概率会在自动修复后直接断连。一旦批量业务瘫痪,运维只能临时回滚权限,反而会重新暴露漏洞。所有有老旧业务的企业,必须提前自测、提前手动加固,预留充足的业务适配周期。
4.3 注册表手动干预精准配置
注册表手动配置是本次漏洞加固的核心实操手段,也是零成本最优解。该键值无需重启服务器、无需停机、无需中断SSO业务,配置即刻生效,适合7*24小时运行的生产业务,不会造成业务抖动,适配所有AD FS单机和集群环境。
注册表路径:HKLM\SYSTEM\CurrentControlSet\Services\ADFS\Parameters\RemediateDkmAcl
键值说明:
1 = 立即启用完整ACL加固策略,收紧DKM权限,彻底修复漏洞(生产环境推荐)
0 = 关闭修复与审计能力,维持原有宽松权限(仅临时兼容测试使用,禁止长期配置)
未配置 = 跟随微软灰度策略,7月审计、10月强制修复
五、落地实战:审计脚本+监控规则+加固操作全复现
5.1 完整版DKM容器ACL审计PowerShell脚本(可直接复制执行)
这段PowerShell脚本是生产环境打磨后的完整版检测工具,修复了网上零散脚本的漏判、误判问题,适配Windows Server 2016/2019/2022全系列AD FS版本。脚本会自动校验RSAT工具依赖,自动检索DKM容器对象,精准匹配所有高危匿名主体权限,最终输出结构化风险报表。运维可以直接复制执行,无需修改参数,单机自测、批量巡检都可以使用。需要注意,域环境批量扫描时,务必使用域管理员权限运行,避免权限不足导致检测不全。
# CVE-2026-56155 DKM容器高危权限审计工具# 适配AD FS 3.0/4.0 全版本 | 运行权限:本地管理员# 功能:检测Everyone/普通域用户非法DKM访问权限# 导入AD模块if(-not(Get-Module-Name ActiveDirectory-ListAvailable)){Write-Error"未检测到AD模块,请安装RSAT工具后重试"exit}Import-ModuleActiveDirectory# 定义DKM容器检索路径$dkmFilter="Name -eq 'Distributed Key Manager'"$dkmObj=Get-ADObject-Filter$dkmFilter-Properties nTSecurityDescriptor-ErrorAction SilentlyContinue$riskResult= @()if($null-eq$dkmObj){Write-Host"未查询到AD FS DKM容器,当前服务器无风险"-ForegroundColor Greenexit}# 遍历所有ACL权限规则foreach($itemin$dkmObj){$aclRules=$item.nTSecurityDescriptor.Accessforeach($rulein$aclRules){# 匹配高危授权主体$riskMatch=$rule.IdentityReference-match"Everyone|Authenticated Users|Domain Users|Guest"if($riskMatch-and$rule.AccessControlType-eq"Allow"){$riskResult+=[PSCustomObject]@{DKM路径 =$item.DistinguishedName 风险主体 =$rule.IdentityReference 开放权限 =$rule.FileSystemRights 权限类型 =$rule.AccessControlType 风险状态 ="高危-可窃取私钥"修复建议 ="立即删除该权限,收紧DKM访问控制"}}}}# 输出审计结果if($riskResult.Count-gt0){Write-Host"`n【检测到CVE-2026-56155高危漏洞风险】共$($riskResult.Count)项违规权限`n"-ForegroundColor Red$riskResult|Format-Table-AutoSize}else{Write-Host"`n【审计通过】DKM容器ACL权限合规,无高危风险`n"-ForegroundColor Green}5.2 Event ID 1132日志监控落地配置
1132日志是CVE-2026-56155漏洞利用的唯一有效告警特征,没有任何其他日志可以替代。攻击者读取DKM密钥、遍历容器目录、尝试越权访问,都会触发该事件日志。很多企业的监控体系只关注报错日志、登录失败日志,完全忽略AD FS的1132审计日志,导致攻击行为长期隐蔽。只要服务器安装7月补丁,就必须同步开启监控,否则补丁无任何安全价值。
日志核心参数:
日志来源:AD FS
事件ID:1132
日志描述:检测到DKM分布式密钥管理器容器存在不合规权限访问,当前ACL配置存在被滥用风险
安全判定:只要产生该日志,代表已有账号尝试读取核心密钥,属于高危攻击行为
实操落地中,建议将1132日志设置为高危告警级别,接入企业SIEM、日志审计平台、钉钉/企业微信告警机器人。规则无需复杂,精准匹配事件ID即可。一旦触发告警,第一时间做账号冻结、会话下线、服务器隔离,不要等待溯源完毕再处置,攻击窗口期极短,延迟处置会直接导致数据泄露、权限沦陷。
5.3 令牌签名证书轮换标准SOP(入侵后应急止损)
实战应急场景中,只要出现1132高频告警、陌生高权限SAML登录、非常规时段系统认证行为,基本可以判定私钥已经泄露或被探针读取。此时单纯清理权限、封禁账号完全不够,必须立刻执行证书密钥轮换,彻底作废攻击者手中的非法凭证,从根源切断攻击链路。以下是可直接落地的标准化SOP,适配所有生产故障场景。
业务临时防护:切换AD FS认证为维护模式,暂停对外SSO认证服务,防止攻击者利用旧密钥持续入侵业务系统
生成全新密钥对:打开AD FS管理控制台,进入证书管理界面,手动生成全新令牌签名证书与加密证书,设置为活跃证书
全网同步更新:将新证书指纹、公钥同步至所有信任域、云服务商、第三方联合业务系统,更新信任列表
清理旧密钥:删除DKM容器内所有旧签名私钥文件,禁用旧证书签名权限,杜绝密钥复用风险
权限二次加固:通过注册表开启ACL强制修复,重新运行审计脚本,确认无高危权限残留
恢复业务并监控:重启AD FS服务,恢复SSO登录能力,持续72小时监控1132日志与登录行为
六、AD FS全维度安全加固清单(生产环境直接落地)
很多企业的安全加固只停留在打补丁、修漏洞层面,没有形成体系化基线。CVE-2026-56155这类漏洞本质是权限管控缺失导致的深层次身份安全风险,单一漏洞修复无法抵御变种攻击。下面的加固清单来自一线政企运维落地经验,覆盖补丁、权限、登录、网络、日志、密钥、风控全维度,逐条落地即可构建闭环防御,彻底杜绝黄金SAML类攻击风险。
补丁强制部署:所有AD FS服务器统一安装2026年7月及以上月度安全补丁,补齐系统底层权限校验缺陷,开启1132日志审计能力
DKM权限极致收紧:清理DKM容器所有匿名用户、普通域用户、认证用户的读取权限,仅保留本地管理员、AD FS服务账户、系统账户的专属访问权限
服务器登录权限管控:修改本地安全策略,仅授权指定运维管理员交互式登录AD FS服务器,拒绝所有普通域用户、业务账号、远程访客的登录权限
开启凭证安全防护:部署Windows Defender Credential Guard,开启凭证虚拟化隔离,防止内存凭证抓取、密钥导出、凭证重放攻击
网络边界隔离:防火墙策略限制AD FS服务器仅放行必要端口,禁止办公终端、外网非信任地址直接访问AD FS管理端口与密钥服务端口
全量日志留存审计:开启AD FS认证全日志、密钥访问日志、权限变更日志,留存时长不低于90天,满足溯源与等保合规要求
密钥定期轮换机制:制定季度密钥轮换制度,主动更新签名证书与私钥,从根本上杜绝密钥泄露后的长期风险
服务账户权限收敛:梳理AD FS服务账户域权限、本地权限,关闭多余管理员权限、远程权限,落实最小权限原则
异常登录策略拦截:配置AD FS登录风控,拦截异地登录、非常规时段登录、无前置认证的令牌登录行为
七、黄金SAML攻击专项检测与防御体系
7.1 攻击者伪造令牌的核心特征(精准识别)
一线溯源工作中,我发现绝大多数黄金SAML攻击都有固定特征,和正常员工登录行为差异极大。普通用户登录有完整的行为链路:终端开机、域账号登录、访问浏览器、输入密码、完成MFA校验,每一步都会留存日志。而伪造令牌登录是“空降式认证”,直接跳过所有前置环节,只有最终认证成功记录,溯源时一眼就能识别异常。
正常用户登录流程:输入账号密码→完成MFA校验→系统记录完整登录前置日志→生成SAML令牌→登录业务系统
伪造令牌登录流程:直接提交伪造令牌→无密码校验、无MFA记录、无本地登录日志→直接完成权限认证
高频异常特征:
管理员账号出现陌生IP、陌生终端登录,无任何前置认证日志
短时间内多个不同账号、不同终端IP登录,令牌签名一致
SAML令牌有效期异常超长,远超系统默认配置时长
AD FS服务器持续产生低频1132日志,无正常业务访问场景匹配
7.2 专项防御落地策略
想要彻底防御CVE-2026-56155衍生的黄金SAML攻击,不能只靠单一漏洞修复,需要搭建三层防御体系:源头封堵密钥泄露通道、过程拦截异常令牌认证、事后快速溯源止损。三层机制相互兜底,就算某一层被绕过,其余层级依旧可以拦截攻击,实现零信任级别的身份防护。
信任根加固:彻底收紧DKM容器权限,封堵私钥窃取入口,从根源杜绝伪造令牌生成条件
强制MFA兜底校验:所有AD FS联合登录场景开启强制多因素认证,即便令牌被伪造,无MFA校验依旧无法完成登录授权
令牌精细化校验:开启AD FS严格校验模式,校验令牌签发时间、终端标识、IP归属地、签名合法性,拦截所有异常伪造令牌
安全平台联动阻断:SIEM、EDR平台关联1132日志、异常登录日志,自动触发账号封禁、IP拦截、服务器隔离策略
周期性密钥审计:每月核查密钥访问记录、证书变更记录,每季度强制轮换签名密钥,消除持久化风险
八、漏洞应急处置全流程(入侵后快速止损)
该漏洞的最大危害就是隐蔽性。攻击者拿到私钥后不会频繁操作触发告警,大多低频、长期驻留,很多企业几周甚至数月都无法发现入侵。等到数据泄露、系统被篡改才排查问题,此时攻击者已经拥有全套持久化权限。标准化应急流程可以帮助运维团队在最短时间内完成止损、溯源、加固、恢复,避免风险扩散。
风险快速研判:汇总1132告警日志、异常登录日志、密钥访问记录,确认是否存在私钥窃取行为、入侵起始时间、影响业务范围
风险隔离阻断:临时下线受影响AD FS节点,阻断身份认证服务,防止攻击者继续利用伪造令牌入侵各业务系统
账号安全处置:批量封禁所有异常访问账号,重置域管理员、核心业务账号、服务账号密码,清理陌生特权账号
密钥紧急轮换:执行完整证书轮换SOP,作废所有泄露私钥,同步全网新证书配置
漏洞彻底加固:完成补丁部署、注册表权限加固、DKM ACL权限清理,复测确认漏洞修复生效
全量溯源审计:复盘攻击时间线、入侵入口、横向移动路径,排查服务器后门、异常权限、持久化计划任务
业务恢复验收:逐步恢复AD FS服务与各SSO业务,持续监控72小时无异常后,确认风险清零,恢复常态化运维
九、运维长效优化与避坑总结
CVE-2026-56155的全网爆发,暴露了国内企业AD FS运维的普遍通病:重业务可用性、轻安全可控性。绝大多数企业部署AD FS只为实现单点登录便利,上线后常年零维护、零巡检、零权限梳理,默认配置跑数年不优化,密钥长期不轮换、权限持续泛滥、日志从不审计。身份信任根作为企业最高安全层级的组件,长期处于裸奔状态。
微软的分阶段修复策略看似给足整改时间,实则是把安全风险甩给企业。10月强制修复前,所有未手动加固的AD FS服务器,漏洞完全对外开放,随时可被在野工具批量扫描利用。运维团队不要抱有侥幸心理,不要等待系统自动修复,注册表一键加固零风险、零停机、零成本,是现阶段最优落地方式。
内网绝对安全的思维已经完全不适用于当下攻防环境。现在的入侵链路大多从终端突破、内网横向扩散,AD FS、域控、文件服务器这类核心基础设施,是攻击者的重点目标。运维必须把内网核心设备当做公网资产防护,严格落实最小权限、动态监测、定期轮换、常态化巡检的安全原则,从信任根层面杜绝越权、窃取、伪造类高危攻击。
十、互动问答
1、你的企业AD FS服务器是否已完成7月安全补丁部署与1132日志监控配置?
2、你在落地DKM权限加固时,是否遇到过业务系统兼容故障?可以在评论区交流排查方案。