CVE-2026-41089: Netlogon RCE je nyní aktivně zneužíván

CVE-2026-41089: Netlogon RCE je nyní aktivně zneužíván

Kritická chyba v protokolu Netlogon od Microsoftu, sledovaná jako CVE-2026-41089, přešla ze záplatované zranitelnosti do aktivního zneužívání. Podle varování několika národních úřadů pro kybernetickou bezpečnost ji útočníci nyní používají při ostrých útocích na podnikové sítě. Následky úspěšného průniku jsou závažné: neověřené vzdálené spuštění kódu s oprávněním SYSTEM na doménových řadičích, což může znamenat úplnou kontrolu nad celou doménovou strukturou Active Directory organizace. Pokud vaše organizace provozuje windowsové doménové řadiče a dosud nenasadila květnovou sadu oprav z roku 2026, jedná se o poplach nejvyššího stupně vyžadující okamžitou akci.

Co CVE-2026-41089 způsobuje a proč jsou doménové řadiče cílem nejvyšší hodnoty

Netlogon je protokol Windows zodpovědný za ověřování uživatelů a počítačů v doméně. Zajišťuje jednu z nejprivilegovanějších komunikací v jakékoli windowsové síti, včetně zabezpečeného kanálu mezi klienty a doménovými řadiči. CVE-2026-41089 přináší cestu ke vzdálenému spuštění kódu, která nevyžaduje vůbec žádné ověření. Útočník se síťovým přístupem k doménovému řadiči může odeslat speciálně vytvořenou zprávu Netlogon, zneužít tuto zranitelnost a získat shell s právy SYSTEM, aniž by kdy předložil jediné přihlašovací údaje.

Doménové řadiče jsou korunovačními klenoty jakéhokoli windowsového prostředí. Drží klíče ke všem uživatelským účtům, skupinovým politikám, ověřovacím tokenům a důvěryhodnostním vztahům v síti. Kompromitace jednoho doménového řadiče obvykle znamená kompromitaci celé doménové struktury Active Directory, protože útočník s přístupem SYSTEM může replikovat doménovou databázi, extrahovat hashe přihlašovacích údajů a libovolně vytvářet Kerberos tickety. Nejedná se o eskalaci oprávnění, která začíná z málo privilegovaného opěrného bodu. Začíná plnou kontrolou.

Závažnost zde připomíná dřívější problémy s Netlogonem a rozsah útoku je podobně široký. Jakýkoli systém, který vystavuje Netlogon RPC (obvykle TCP port 445 nebo dynamický rozsah RPC) nedůvěryhodným síťovým segmentům, je kandidátem na zneužití.

Jak aktivní zneužívání probíhá: Od neověřeného přístupu k úplnému ovládnutí doménové struktury AD

Útočný řetězec je pozoruhodně krátký, což je součástí toho, co dělá tuto chybu tak nebezpečnou. Útočník skenující vystavené doménové řadiče může identifikovat cíl, vytvořit škodlivý RPC požadavek Netlogon a dosáhnout spuštění kódu s právy SYSTEM během jediné neověřené výměny. Není potřeba nikoho podvádět phishingem, krást heslo ani se přesouvat přes více systémů.

Jakmile útočník získá přístup SYSTEM na doménovém řadiči, jeho další kroky jsou dobře zdokumentovány. Může získat databázi NTDS.dit (úložiště přihlašovacích údajů Active Directory), extrahovat hashe účtu KRBTGT pro vytvoření golden ticketů a zřídit trvalé zadní vrátka v podobě účtů, které přežijí i resetování hesel. Z této pozice se laterální pohyb napříč celou doménovou strukturou stává triviálním.

Tento druh rychlé eskalace je opakujícím se tématem nedávné hrozby zaměřené na Microsoft. Zero-day MiniPlasma, který dává přístup SYSTEM na záplatovaných počítačích s Windows, sleduje podobnou logiku eskalace oprávnění a útočníci prokázali, že jsou ochotni řetězit více windowsových chyb dohromady, aby se rychle dostali k vysoce hodnotným cílům. Mezitím aktéři zaměření na cloud, jako ti, kteří stojí za kampaní Storm-2949 zaměřenou na Microsoft 365, ukázali, že jakmile je místní doménová struktura kompromitována, hybridní konfigurace Azure AD mohou rozšířit dosah útoku i na cloudové tenanty.

Segmentace sítě a zero-trust vynucovaný VPN jako okamžité zmírňující vrstvy

Záplatování je jediné úplné řešení, ale volby síťové architektury mohou dramaticky snížit pravděpodobnost zneužití v okně před nasazením nebo potvrzením záplat.

Nejdůležitějším okamžitým krokem je omezení toho, které systémy mohou kontaktovat doménové řadiče na portech souvisejících s Netlogonem. Doménové řadiče by nikdy neměly být přímo dosažitelné z běžných pracovních stanic, hostovských sítí nebo jakéhokoli segmentu, ke kterému by mohla získat přístup externí strana. Pravidla firewallu, která vynucují, že pouze konkrétní, jmenovitě uvedené servery (členské servery, které legitimně potřebují komunikaci Netlogon) se mohou připojit k doménovým řadičům na příslušných portech, snižují útočnou plochu pouze na tyto systémy.

Architektura VPN zde hraje přímou roli. Organizace, které umožňují vzdáleným uživatelům nebo pobočkám směrovat provoz přes VPN tunel před dosažením interní doménové infrastruktury, mají přirozený bod vynucení. Konfigurace split-tunneling, které ponechávají interní administrativní protokoly vystavené bez průchodu inspekcí nebo kontrolou přístupu, tuto výhodu eliminují. Model zero-trust VPN, kde je každé připojení ověřeno a autorizováno na úrovni relace před udělením síťového přístupu, znamená, že útočník nemůže dosáhnout doménového řadiče prostřednictvím kompromitovaného koncového bodu, aniž by nejprve splnil další vrstvu ověření.

Mikrosegmentace na síťové vrstvě, ať už prostřednictvím softwarově definovaných sítí nebo fyzické separace VLAN, zajišťuje, že i kompromitovaná pracovní stanice ve vnitřní síti nemůže přímo kontaktovat porty doménového řadiče. Tím se omezuje dosah útoku, i když útočník již získal opěrný bod jinde.

Stav záplat, indikátory detekce a dlouhodobější posilování infrastruktury

Společnost Microsoft vydala záplatu pro CVE-2026-41089 jako součást květnového cyklu Patch Tuesday 2026. Organizace by měly ověřit, že doménové řadiče konkrétně tuto aktualizaci obdržely a úspěšně ji nainstalovaly. Doménové řadiče jsou někdy vynechávány ze standardních procesů správy záplat kvůli obavám o dostupnost, což je může ponechat potichu nezáplatované.

Pro detekci by bezpečnostní týmy měly monitorovat anomální aktivitu Netlogon RPC pocházející z neočekávaných zdrojových IP adres, zejména těch mimo známé podsítě pro správu. Události vytváření procesů s právy SYSTEM na doménových řadičích, které neodpovídají známé administrativní činnosti, jsou silným indikátorem post-exploitace. ID událostí související s požadavky na replikaci adresáře z nestandardních zdrojů by rovněž měly být označeny.

Z dlouhodobého hlediska ukazuje vzorec rychle zneužívaných vysoce závažných windowsových chyb na potřebu odolnějšího postoje infrastruktury. Výzkumníci na Pwn2Own Berlin 2026 předvedli živé exploity proti Windows 11 a Edge, což podtrhuje, že kanál objevování zranitelností Windows zůstává aktivní. Víceúrovňové modely správy, kde je správa doménových řadičů izolována na vyhrazené administrativní pracovní stanice bez přístupu k internetu, snižují počet cest, které může útočník použít k přiblížení se k nejcitlivějším systémům v prostředí.

Co to znamená pro vás

Pokud spravujete podnikové sítě Windows nebo v nich poskytujete poradenství, CVE-2026-41089 není zranitelností, kterou můžete odložit. Neověřená povaha exploitu, která nevyžaduje předchozí autentizaci, znamená, že samotná perimetrová obrana nestačí. Květnová záplata z roku 2026 musí být na každém doménovém řadiči ve vašem prostředí, potvrzená a ověřená, nejen předpokládaná.

Kromě záplatování je toto okamžik, kdy je třeba prověřit, zda vaše kontroly VPN a segmentace skutečně brání libovolným interním hostitelům v přístupu na porty doménových řadičů. Zkontrolujte, zda ve vašich politikách zero-trust nejsou mezery, které by umožnily kompromitovanému koncovému bodu zahájit spojení Netlogon bez dodatečného ověření. Ověřte, zda by vaše hybridní konfigurace Azure AD nemohla rozšířit kompromitaci místní doménové struktury do cloudových prostředků.

Organizace, které projdou touto vlnou aktivního zneužívání s nedotčenou infrastrukturou, budou ty, které přistupovaly k segmentaci sítě a ověřování záplat jako k průběžné disciplíně, nikoli jako k jednorázovému zaškrtávacímu políčku. Začněte záplatou. Pak pokračujte revizí architektury.