Эксплуатация Windows Netlogon CVE-2026-41089: Требуется приоритетное исправление

Злоумышленники активно эксплуатируют критическую уязвимость Windows Netlogon, которую Microsoft исправила три недели назад и оценила как маловероятную. Центр кибербезопасности Бельгии выпустил предупреждение об эксплуатации 29 мая, повысив уровень риска для каждой непропатченной среды Windows Server, работающей в качестве контроллера домена. Хотя 1 июня Microsoft заявила, что все еще проверяет эти заявления и пока не обновила свой портал MSRC, командам безопасности настоятельно рекомендуется не ждать.

CVE-2026-41089 это переполнение буфера на основе стека в службе Netlogon с оценкой CVSS 9,8. Неаутентифицированный удаленный злоумышленник отправляет поддельный сетевой запрос на сервер Windows Server, выступающий в роли контроллера домена. В случае успеха служба Netlogon неправильно обрабатывает запрос, позволяя злоумышленнику выполнить произвольный код с привилегиями SYSTEM. Никаких учетных данных. Никакого взаимодействия с пользователем. Предварительный доступ не требуется.

Причины беспокойства

Microsoft исправила CVE-2026-41089 12 мая в рамках майского вторника патчей, который устранил в общей сложности 138 CVE. Несмотря на рейтинг серьезности 9,8, Редмонд оценил этот недостаток как "эксплуатация менее вероятна" на момент выпуска. Этот разрыв между официальной оценкой и реальными сообщениями об угрозах - именно то, что застает команды безопасности предприятий врасплох.

Совет CCB появился через 17 дней после выхода патча. Это вполне укладывается в то окно, в которое укладываются многие корпоративные циклы исправлений. Организации, которые относятся к обновлениям вторника патчей как к 30-дневному графику, а не как к первоочередной задаче, в настоящее время находятся в уязвимом положении.

Windows Netlogon CVE-2026-41089: Что находится в зоне риска

Контроллеры домена являются основой аутентификации https://www.helpnetsecurity.com/2026/06/01/windows-netlogon-rce-exploited-cve-2026-41089/ среды Active Directory. Успешная эксплуатация CVE-2026-41089 дает злоумышленнику возможность выполнения кода на уровне SYSTEM на самом контроллере домена, что на практике означает полный контроль над доменом Active Directory, возможность создания привилегированных учетных записей и латеральное перемещение по всем системам, которые проходят аутентификацию на этом контроллере.

Джек Байсер (Jack Bicer), директор по исследованию уязвимостей в Action1, отметил этот недостаток во время установки патча: "Этот CVE требует немедленного внимания. Успешные атаки могут привести к широкомасштабной компрометации конечных точек, распространению выкупного ПО, сбору учетных данных и нарушению работы корпоративных сетей"

Что можно сделать

Немедленно примените накопительное обновление от 12 мая, если оно еще не было развернуто. Исправление включено в стандартное обновление Windows Server для всех поддерживаемых версий. Изолируйте контроллеры домена от прямого доступа в Интернет и ограничьте трафик Netlogon только аутентифицированными внутренними источниками. 9 июня - следующий Вторник исправлений и последнее окно обновлений перед 24-27 июня Сертификат Secure Boot что придает дополнительную актуальность завершению майского обновления до этой даты.