Windows Netlogon CVE-2026-41089 kihasználva: Elsődleges javítás szükséges

A támadók aktívan kihasználják a Windows Netlogon kritikus sebezhetőségét, amelyet a Microsoft három hete javított be, és amelyet a Microsoft úgy értékelt, hogy nem valószínű, hogy kihasználják. A Centre for Cybersecurity Belgium május 29-én kiadott egy kihasználási figyelmeztetést, amely minden, tartományvezérlőként futó, javítatlan Windows Server-környezet kockázati profilját megnöveli. Bár a Microsoft június 1-jén kijelentette, hogy még mindig érvényesítik ezeket az állításokat, és még nem frissítették az MSRC portálját, a biztonsági csapatokat arra biztatják, hogy ne várjanak.

CVE-2026-41089 egy veremalapú puffer túlcsordulás a Netlogon szolgáltatásban, amelynek CVSS pontszáma 9,8. Egy nem hitelesített távoli támadó szerkesztett hálózati kérést küld egy tartományvezérlőként működő Windows Server-nek. Siker esetén a Netlogon szolgáltatás rosszul kezeli a kérést, lehetővé téve a támadó számára tetszőleges kód futtatását SYSTEM jogosultságokkal. Nincs hitelesítő adat. Nincs felhasználói interakció. Nincs szükség előzetes hozzáférésre.

Miért aggályos ez?

A Microsoft május 12-én javította a CVE-2026-41089-et a májusi Patch Tuesday részeként, amely összesen 138 CVE-t javított. A 9,8-as súlyossági besorolás ellenére a redmondiak a kiadás idején a hibát "kevésbé valószínű kihasználásnak" minősítették. A hivatalos értékelés és a valós fenyegetésekről szóló jelentések közötti különbség pontosan az, ami a vállalati biztonsági csapatokat váratlanul érte.

A CCB-tanácsadás 17 nappal a javítás megjelenése után érkezett. Ez bőven azon az időablakon belül van, amelyet sok vállalati javítási ciklus használ. Azok a szervezetek, amelyek a Patch Tuesday frissítéseket nem azonnali prioritásként, hanem 30 napos ütemtervként kezelik, jelenleg kiszolgáltatottak.

Windows Netlogon CVE-2026-41089: Mi a veszélyeztetett

A tartományvezérlők alkotják a hitelesítési gerincét az Active Directory környezetek hátterében. A CVE-2026-41089 sikeres kihasználása a támadó számára SYSTEM-szintű kódfuttatást biztosít magán a tartományvezérlőn, ami a gyakorlatban az Active Directory tartomány teljes ellenőrzését, kiváltságos fiókok létrehozásának lehetőségét és oldalirányú mozgást jelent minden olyan rendszeren, amely az adott vezérlővel szemben hitelesíti magát.

Jack Bicer, az Action1 sebezhetőségi kutatási igazgatója a javítás idején jelezte a hibát: "Ez a CVE azonnali figyelmet igényel. A sikeres támadások a végpontok széles körű veszélyeztetéséhez, zsarolóprogramok telepítéséhez, hitelesítő adatok begyűjtéséhez és működési zavarokhoz vezethetnek a vállalati hálózatokban"

Mit lehet tenni

Alkalmazza azonnal a május 12-i kumulatív frissítést, ha még nem került telepítésre. A javítást a Windows Server szabványos frissítése tartalmazza minden támogatott verzióhoz. Szigetelje el a tartományvezérlőket a közvetlen internetes kitettségtől, és korlátozza a Netlogon-forgalmat csak hitelesített belső forrásokra. Június 9-én lesz a következő Patch Tuesday és az utolsó frissítési ablak a június 24-27-i frissítés előtt Secure Boot tanúsítvány lejárati időszaka előtt, ami még sürgetőbbé teszi a májusi bevezetés befejezését az említett időpont előtt.