Критическую уязвимость Netlogon в Windows Server начали эксплуатировать в реальных атаках

Уязвимость в протоколе Netlogon, которую Microsoft закрыла ещё в майском наборе обновлений, перешла из разряда теоретической угрозы в разряд реально эксплуатируемой. Брешь получила идентификатор CVE-2026-41089 и позволяет захватывать контроллеры домена без единого клика со стороны жертвы — атакующему достаточно сетевого доступа.

В чём суть уязвимости

CVE-2026-41089 затрагивает серверы Windows, настроенные в роли контроллеров домена. Проблема кроется в обработке специально сформированных сетевых запросов к службе Netlogon: некорректная обработка позволяет неаутентифицированному злоумышленнику удалённо выполнить произвольный код с привилегиями SYSTEM.

Для атаки не требуется ни предварительной аутентификации, ни локального доступа, ни какого-либо взаимодействия с пользователем — это классический сценарий «нулевого клика», идеально подходящий для автоматизации атак, бокового перемещения по сети и быстрого захвата всего домена после первого проникновения в инфраструктуру.

Контекст и масштаб проблемы

Уязвимость была раскрыта и закрыта в рамках майского Patch Tuesday 2026 года. Центр кибербезопасности Бельгии (CCB) выпустил отдельное предупреждение, выделив CVE-2026-41089 среди 118 уязвимостей, закрытых в майском пакете обновлений, — 16 из них имеют критический уровень опасности.

Microsoft выпустила исправления для всех поддерживаемых версий Windows Server начиная с редакции 2012 года, то есть под угрозой находится подавляющее большинство корпоративных развёртываний Active Directory.

Учитывая центральную роль Active Directory в управлении идентификацией, доступом и аутентификацией, компрометация контроллера домена через Netlogon открывает злоумышленнику путь к развёртыванию вредоносного ПО, созданию или изменению учётных записей, отключению средств защиты и дальнейшему перемещению по критически важным системам организации.

Что делать администраторам

CCB настоятельно рекомендует организациям в приоритетном порядке развернуть патч для CVE-2026-41089 после соответствующего тестирования, рассматривая эту задачу как экстренную меру первого уровня. В первую очередь следует обновлять контроллеры домена, особенно те, что доступны из недоверенных или менее защищённых сегментов сети — это сокращает окно уязвимости.

Помимо установки патчей, специалистов призывают усилить мониторинг и детектирование подозрительной активности, связанной с Netlogon. Речь идёт о выявлении аномального поведения при аутентификации, нетипичного трафика на контроллерах домена и признаков повышения привилегий или создания новых административных учётных записей вслед за событиями Netlogon. Раннее обнаружение критично для сдерживания вторжений, эксплуатирующих эту уязвимость, — тем более что она уже активно используется в атаках.

Также рекомендуется пересмотреть сегментацию сети и правила доступа вокруг контроллеров домена, ограничив круг систем и служб, которым разрешено обращаться к Netlogon по соответствующим портам. В сочетании с оперативным развёртыванием патчей и усиленным мониторингом эти меры необходимы для сдерживания непосредственной угрозы, которую CVE-2026-41089 создаёт в рамках текущих кампаний эксплуатации.

Источник: Cybersecurity News.