CVE-2026-41089: Отдалечено изпълнение на код в Netlogon вече се експлоатира активно

CVE-2026-41089: Отдалечено изпълнение на код в Netlogon вече се експлоатира активно

Критичен недостатък в протокола Netlogon на Microsoft, проследяван като CVE-2026-41089, премина от поправена уязвимост към активна експлоатация. Според предупреждения от множество национални агенции по киберсигурност, нападателите вече използват грешката в живи атаки срещу корпоративни мрежи. Последствията от успешно проникване са тежки: неавтентикирано отдалечено изпълнение на код на ниво SYSTEM върху домейн контролери, което може да означава пълен контрол над цялата Active Directory гора на организацията. Ако вашата организация използва Windows домейн контролери и все още не е приложила майския пакет с корекции от 2026 г., това е ситуация с най-висока степен на тревога, изискваща незабавни действия.

Какво прави CVE-2026-41089 и защо домейн контролерите са цел с най-висока стойност

Netlogon е протоколът на Windows, отговорен за удостоверяване на потребители и машини в домейн. Той обработва част от най-привилегированата комуникация във всяка Windows мрежа, включително защитения канал между клиенти и домейн контролери. CVE-2026-41089 въвежда път за отдалечено изпълнение на код, който изобщо не изисква автентикация. Нападател с мрежов достъп до домейн контролер може да изпрати специално изработено Netlogon съобщение, да задейства уязвимостта и да получи SYSTEM обвивка, преди дори да представи каквито и да е идентификационни данни.

Домейн контролерите са бижутата на короната във всяка Windows среда. Те държат ключовете за всеки потребителски акаунт, групова политика, токен за удостоверяване и доверителна връзка в мрежата. Компрометирането на един домейн контролер обикновено означава компрометиране на цялата Active Directory гора, тъй като нападател с SYSTEM достъп може да репликира базата данни на домейна, да извлече хешове на идентификационни данни и да подправя Kerberos билети по желание. Това не е ескалация на привилегии, започваща от слабо привилегирован плацдарм. Започва с пълен контрол.

Тежестта тук напомня на предишни проблеми с Netlogon, а атакуващата повърхност е също толкова широка. Всяка система, която излага Netlogon RPC (обикновено TCP порт 445 или динамичния RPC диапазон) на недоверени мрежови сегменти, е кандидат за експлоатация.

Как се развива активната експлоатация: от неавтентикиран достъп до пълно компрометиране на AD гора

Веригата на атаката е забележително кратка, което е част от причината този недостатък да е толкова опасен. Нападател, сканиращ за изложени домейн контролери, може да идентифицира цел, да изработи злонамерена Netlogon RPC заявка и да постигне изпълнение на код на ниво SYSTEM с един-единствен неавтентикиран обмен. Няма нужда от фишинг на потребител, кражба на парола или предварително преминаване през множество системи.

След като SYSTEM достъп върху домейн контролер е установен, следващите стъпки на нападателя са добре документирани. Той може да извлече базата данни NTDS.dit (хранилището на идентификационни данни на Active Directory), да извлече хешове на акаунта KRBTGT, за да подправи златни билети, и да създаде постоянни задни вратички, които оцеляват дори след смяна на пароли. От тази позиция страничното придвижване в цялата гора става тривиално.

Този вид бърза ескалация е повтаряща се тема в последните заплахи, насочени към Microsoft. Нулевият ден MiniPlasma, който дава SYSTEM достъп на поправени Windows машини, следва подобна логика за ескалация на привилегии, а заплашващите актьори демонстрираха, че са готови да комбинират множество Windows уязвимости, за да достигнат бързо до високостойностни цели. Междувременно, облачно ориентирани актьори като тези зад кампанията Storm-2949 в Microsoft 365 показаха, че щом веднъж локалната гора е компрометирана, хибридните Azure AD конфигурации могат да разширят радиуса на поражението и в облачните承租人.

Мрежово сегментиране и enforced от VPN нулево доверие като непосредствени слоеве за смекчаване

Корекцията е единственото пълно решение, но изборите в мрежовата архитектура могат драстично да намалят вероятността от експлоатация в прозореца преди корекциите да бъдат внедрени или потвърдени.

Най-важната незабавна стъпка е ограничаване на системите, които могат да достигат домейн контролери през свързани с Netlogon портове. Домейн контролерите никога не трябва да бъдат директно достъпни от работни станции с общо предназначение, мрежи за гости или който и да е сегмент, достъпен за външна страна. Правила на защитната стена, налагащи, че само конкретни, именовани сървъри (членуващи сървъри, които легитимно се нуждаят от Netlogon комуникация) могат да се свързват с домейн контролери на съответните портове, намаляват атакуващата повърхност само до тези системи.

VPN архитектурата играе пряка роля тук. Организациите, които позволяват на отдалечени потребители или клонове да маршрутизират трафика през VPN тунел преди достигане на вътрешната домейн инфраструктура, разполагат с естествена точка за налагане на политики. Конфигурациите със сплит тунелиране, които оставят вътрешните административни протоколи изложени, без да преминават през инспекция или контрол на достъпа, елиминират това предимство. Модел на VPN с нулево доверие, при който всяка връзка се удостоверява и оторизира за сесия, преди да се предостави мрежов достъп, означава, че нападателят не може да достигне домейн контролер през компрометиран крайен устройство, без първо да удовлетвори допълнителен слой на проверка.

Микросегментирането на мрежово ниво, независимо дали чрез софтуерно дефинирани мрежи или физическо VLAN разделяне, гарантира, че дори компрометирана работна станция във вътрешната мрежа не може да достига директно до портовете на домейн контролерите. Това ограничава радиуса на поражението, дори ако нападателят вече е установил плацдарм другаде.

Състояние на корекциите, индикатори за откриване и дългосрочно укрепване на инфраструктурата

Microsoft пусна корекция за CVE-2026-41089 като част от майския Patch Tuesday цикъл за 2026 г. Организациите трябва да проверят дали домейн контролерите специално са получили и успешно приложили тази актуализация. Домейн контролерите понякога са изключвани от стандартните работни потоци за управление на корекции поради опасения за непрекъсваемост на работата, което може да ги остави тихомълком неактуализирани.

За откриване екипите по сигурност трябва да наблюдават за аномална Netlogon RPC активност, идваща от неочаквани изходни IP адреси, особено такива извън известните управленски подмрежи. Събития за създаване на процеси на ниво SYSTEM върху домейн контролери, които не съответстват на известна административна дейност, са силен индикатор за пост-експлоатация. Идентификатори на събития, свързани със заявки за репликация на директория от нестандартни източници, също трябва да бъдат маркирани.

В дългосрочен план моделът на високо тежки Windows уязвимости, експлоатирани в бърза последователност, сочи към необходимостта от по-устойчива инфраструктурна поза. Изследователи на Pwn2Own Берлин 2026 демонстрираха живи експлоити срещу Windows 11 и Edge, което подчертава, че потокът от откриване на уязвимости в Windows остава активен. Модели на многостепенно администриране, при които управлението на домейн контролери е изолирано в специални административни работни станции без достъп до интернет, намаляват броя на пътищата, които нападателят може да използва, за да се приближи до най-чувствителните системи в средата.

Какво означава това за вас

Ако управлявате или консултирате корпоративни Windows мрежи, CVE-2026-41089 не е уязвимост, която можете да отложите. Неавтентикираният, пред-автентикационен характер на експлоита означава, че само периметърните защити не са достатъчни. Майската корекция от 2026 г. трябва да бъде на всеки домейн контролер във вашата среда, потвърдена и проверена, а не просто предполагаема.

Освен корекцията, това е моментът да одитирате дали вашите VPN и контроли за сегментиране реално предотвратяват произволни вътрешни хостове да достигат портовете на домейн контролерите. Проверете политиките си за нулево доверие за пропуски, които биха позволили на компрометиран краен устройство да инициира Netlogon връзки без допълнителна проверка. Прегледайте дали вашата хибридна Azure AD конфигурация би могла да разшири компрометирането на локалната гора в облачни ресурси.

Организациите, които преминат през тази вълна от активна експлоатация с непокътната инфраструктура, ще бъдат тези, които третират мрежовото сегментиране и проверката на корекциите като непрекъснати дисциплини, а не като еднократни отметки. Започнете с корекцията. След това последвайте с преглед на архитектурата.