Windows Netlogon CVE-2026-41089 wykorzystany: Potrzebna priorytetowa poprawka

Atakujący aktywnie wykorzystują krytyczną lukę Windows Netlogon, którą Microsoft załatał trzy tygodnie temu i ocenił jako mało prawdopodobną do wykorzystania. Belgijskie Centrum Cyberbezpieczeństwa wydało 29 maja ostrzeżenie przed exploitami, podnosząc profil ryzyka dla każdego niezałatanego środowiska Windows Server działającego jako kontroler domeny. Chociaż Microsoft oświadczył 1 czerwca, że nadal weryfikuje te twierdzenia i nie zaktualizował jeszcze swojego portalu MSRC, zespoły ds. bezpieczeństwa są zachęcane do nie czekania.

CVE-2026-41089 to oparte na stosie przepełnienie bufora w usłudze Netlogon z wynikiem CVSS 9,8. Nieuwierzytelniony zdalny atakujący wysyła spreparowane żądanie sieciowe do serwera Windows Server działającego jako kontroler domeny. Jeśli się powiedzie, usługa Netlogon nieprawidłowo obsłuży żądanie, umożliwiając atakującemu wykonanie dowolnego kodu z uprawnieniami SYSTEM. Brak poświadczeń. Brak interakcji z użytkownikiem. Nie jest wymagany wcześniejszy dostęp.

Skąd te obawy

Microsoft załatał usterkę CVE-2026-41089 12 maja w ramach majowego Patch Tuesday, który zaadresował łącznie 138 CVE. Pomimo oceny ważności na poziomie 9,8, Redmond oceniło tę lukę jako "mniej prawdopodobną do wykorzystania" w momencie jej wydania. Ta luka między oficjalną oceną a rzeczywistymi raportami o zagrożeniach jest dokładnie tym, co zaskakuje zespoły ds. bezpieczeństwa w przedsiębiorstwach.

Informacja CCB pojawiła się 17 dni po opublikowaniu łatki. Mieści się to w okresie, w którym działa wiele cykli poprawek dla przedsiębiorstw. Organizacje, które traktują aktualizacje Patch Tuesday jako 30-dniowy harmonogram wdrażania, a nie natychmiastowy priorytet, są obecnie narażone.

Windows Netlogon CVE-2026-41089: Co jest zagrożone

Kontrolery domeny stanowią szkielet uwierzytelniania https://www.helpnetsecurity.com/2026/06/01/windows-netlogon-rce-exploited-cve-2026-41089/ środowisk Active Directory. Pomyślne wykorzystanie CVE-2026-41089 daje atakującemu możliwość wykonania kodu na poziomie SYSTEM na samym kontrolerze domeny, co w praktyce oznacza pełną kontrolę nad domeną Active Directory, możliwość tworzenia uprzywilejowanych kont i bocznego przemieszczania się po każdym systemie, który uwierzytelnia się na tym kontrolerze.

Jack Bicer, dyrektor ds. badań nad podatnościami w Action1, zgłosił tę lukę w czasie łatania: "To CVE wymaga natychmiastowej uwagi. Udane ataki mogą prowadzić do powszechnej kompromitacji punktów końcowych, wdrażania oprogramowania ransomware, zbierania danych uwierzytelniających i zakłóceń operacyjnych w sieciach korporacyjnych"

Co można zrobić

Proszę natychmiast zastosować zbiorczą aktualizację z 12 maja, jeśli nie została ona jeszcze wdrożona. Poprawka jest zawarta w standardowej aktualizacji systemu Windows Server dla wszystkich obsługiwanych wersji. Proszę odizolować kontrolery domeny od bezpośredniego dostępu do Internetu i ograniczyć ruch Netlogon wyłącznie do uwierzytelnionych źródeł wewnętrznych. 9 czerwca to kolejny Patch Tuesday i ostatnie okno aktualizacji przed 24-27 czerwca Certyfikatem Secure Boot secure Boot, co dodatkowo zwiększa pilność ukończenia majowego wdrożenia przed tą datą.