O vulnerabilitate critică de execuție de cod de la distanță în Windows Netlogon este exploatată activ în prezent, determinând avertismente urgente din partea autorităților naționale de securitate cibernetică și ale cercetătorilor în domeniu. Centrul pentru Securitate Cibernetică din Belgia (CCB) a confirmat vineri, 29 mai, că actorii de amenințare exploatează această vulnerabilitate — înregistrată sub denumirea CVE-2026-41089 — pentru a viza controlere de domeniu din rețelele întreprinderilor.
Vulnerabilitatea
CVE-2026-41089 este o depășire de buffer bazată pe stivă în serviciul Windows Netlogon, cu un scor CVSS de 9,8. Vulnerabilitatea permite unui atacator neautentificat să trimită o cerere de rețea special construită către un controler de domeniu Windows, declanșând gestionarea incorectă a cererii și permițând executarea de cod arbitrar cu privilegii de nivel SYSTEM. Nu este necesară nicio interacțiune din partea utilizatorului și nici credențiale prealabile.
„Un atacator ar putea trimite o cerere de rețea special construită către un server Windows care acționează ca un controler de domeniu”, a precizat Microsoft în avizul său de securitate. „În caz de succes, acest lucru ar putea determina serviciul Netlogon să gestioneze incorect cererea, permițând potențial atacatorului să execute cod pe sistemul afectat fără a fi necesară autentificarea sau existența unui acces prealabil.”
Zero Day Initiative a descris eroarea drept „wormabilă”, menționând că „un controler de domeniu compromis înseamnă un domeniu compromis”. Deoarece Netlogon este protocolul pe care Windows îl utilizează pentru autentificarea utilizatorilor și a computerelor față de un controler de domeniu, exploatarea vulnerabilității le poate permite atacatorilor să implementeze programe malware, să creeze sau să modifice conturi, să dezactiveze controalele de securitate și să se deplaseze lateral prin sisteme critice.
Starea patch-urilor și măsuri de atenuare
Microsoft a remediat CVE-2026-41089 în cadrul lansării Patch Tuesday din mai 2026, pe 12 mai, care a vizat 118 vulnerabilități din portofoliul său de produse. La momentul lansării, nu fusese observată nicio exploatare activă. CCB și-a actualizat avizul pe 29 mai pentru a reflecta schimbarea statutului amenințării, îndemnând organizațiile să „aplice patch-urile cât mai rapid posibil.”
Patch-urile sunt disponibile pentru toate versiunile Windows Server acceptate începând cu 2012, inclusiv Windows Server 2025. Serviciul 0patch al Acros Security a lansat, de asemenea, micropatch-uri pentru versiunile moștenite de Windows Server care nu mai primesc actualizări oficiale Microsoft, inclusiv Windows Server 2008 R2, 2012 și 2012 R2.
Acțiuni recomandate
Experții în securitate recomandă organizațiilor să confirme imediat că patch-urile au fost aplicate pe toți controlorii de domeniu, să izoleze controlorii de domeniu expuși de rețelele nesigure și să monitorizeze jurnalele Netlogon pentru solicitări de autentificare anormale. Vulnerabilitatea a fost descoperită intern de echipa Windows Attack Research & Protection (WARP) a Microsoft.
Surse:
https://www.tenable.com/cve/CVE-2026-41089
Windows Netlogon 0-Click RCE Vulnerability Now Actively Exploited In The Wild