CVE-2026-41089: Netlogon RCE sada u aktivnom iskorištavanju
Kritična ranjivost u Microsoftovom Netlogon protokolu, označena kao CVE-2026-41089, prešla je iz zakrpane ranjivosti u aktivno iskorištavanje. Napadači sada koriste ovaj nedostatak u stvarnim napadima na poslovne mreže, prema upozorenjima više nacionalnih tijela za kibernetičku sigurnost. Posljedice uspješnog upada su ozbiljne: neautentificirano izvršavanje koda na razini SUSTAVA (SYSTEM) na kontrolerima domene, što može značiti potpunu kontrolu nad cijelom Active Directory šumom organizacije. Ako vaša organizacija koristi Windows kontrolere domene i još nije primijenila zakrpe iz svibnja 2026., ovo je situacija petog stupnja uzbune koja zahtijeva hitnu akciju.
Što CVE-2026-41089 radi i zašto su kontroleri domene meta najveće vrijednosti
Netlogon je Windows protokol odgovoran za autentifikaciju korisnika i računala unutar domene. Njime prolazi neka od najprivilegiranijih komunikacija u bilo kojoj Windows mreži, uključujući sigurni kanal između klijenata i kontrolera domene. CVE-2026-41089 uvodi put udaljenog izvršavanja koda koji ne zahtijeva nikakvu autentifikaciju. Napadač s mrežnim pristupom kontroleru domene može poslati posebno oblikovanu Netlogon poruku, aktivirati ranjivost i dobiti ljusku s SYSTEM razinom ovlasti prije nego što uopće pruži bilo kakve vjerodajnice.
Kontroleri domene su krunske dragulje bilo kojeg Windows okruženja. Oni drže ključeve svakog korisničkog računa, grupnih pravila, autentifikacijskih tokena i relacija povjerenja u mreži. Kompromitiranje jednog kontrolera domene obično znači kompromitiranje cijele Active Directory šume, jer napadač s SYSTEM razinom ovlasti može replicirati bazu podataka domene, izvući hash-ove vjerodajnica i izraditi Kerberos tikete po volji. Ovo nije eskalacija privilegija koja započinje s nisko privilegiranim uporištem. Počinje s potpunom kontrolom.
Ozbiljnost ovdje podsjeća na ranije Netlogon probleme, a površina napada je podjednako široka. Svaki sustav koji izlaže Netlogon RPC (obično TCP port 445 ili dinamički RPC raspon) nepouzdanim mrežnim segmentima je kandidat za iskorištavanje.
Kako se aktivno iskorištavanje odvija: od neautentificiranog pristupa do potpune kompromitacije AD šume
Lanac napada je izuzetno kratak, što je dio onoga što ovu ranjivost čini toliko opasnom. Napadač koji skenira izložene kontrolere domene može identificirati metu, izraditi zlonamjeran Netlogon RPC zahtjev i postići izvršavanje koda na SYSTEM razini u jednoj neautentificiranoj razmjeni. Nema potrebe za phishingom korisnika, krađom lozinke ili prethodnim probijanjem kroz više sustava.
Nakon što je SYSTEM pristup na kontroleru domene uspostavljen, sljedeći koraci napadača su dobro dokumentirani. Mogu izvesti NTDS.dit bazu podataka (spremište vjerodajnica Active Directoryja), izvući hash-ove KRBTGT računa kako bi izradili zlatne tikete (golden tickets) i uspostaviti trajna backdoor vrata koja preživljavaju čak i resetiranje lozinki. S te pozicije, lateralno kretanje kroz cijelu šumu postaje trivijalno.
Ova vrsta brze eskalacije ponavljajuća je tema u nedavnim prijetnjama usmjerenim na Microsoftove sustave. MiniPlasma zero-day ranjivost koja daje SYSTEM pristup na zakrpanim Windows računalima slijedi sličnu logiku eskalacije privilegija, a akteri prijetnji pokazali su da su spremni povezivati više Windows ranjivosti kako bi brzo došli do visokovrijednih meta. Istovremeno, akteri usmjereni na oblak, poput onih iza Storm-2949 kampanje za Microsoft 365, pokazali su da jednom kada je lokalna šuma kompromitirana, hibridne Azure AD konfiguracije mogu proširiti radijus udara i na cloud najmove (tenants).
Segmentacija mreže i VPN-om nametnuto nulto povjerenje (zero-trust) kao slojevi trenutnog ublažavanja
Zakrpe su jedino potpuno rješenje, ali odabir mrežne arhitekture može dramatično smanjiti vjerojatnost iskorištavanja u razdoblju prije nego su zakrpe primijenjene ili potvrđene.
Najvažniji trenutni korak je ograničiti koji sustavi mogu dosegnuti kontrolere domene preko portova povezanih s Netlogonom. Kontroleri domene nikada ne bi trebali biti izravno dostupni s radnih stanica opće namjene, gostujućih mreža ili bilo kojeg segmenta kojem bi vanjska strana mogla pristupiti. Pravila vatrozida koja dopuštaju samo određenim, imenovanim poslužiteljima (članskim poslužiteljima koji legitimno trebaju Netlogon komunikaciju) da se povezuju na kontrolere domene na relevantnim portovima smanjuju površinu napada na te sustave.
VPN arhitektura ovdje igra izravnu ulogu. Organizacije koje dopuštaju udaljenim korisnicima ili podružnicama da usmjeravaju promet kroz VPN tunel prije nego što dosegnu internu infrastrukturu domene imaju prirodnu točku provođenja pravila. Konfiguracije s podijeljenim tuneliranjem (split-tunneling) koje ostavljaju interne administrativne protokole izloženima bez prolaska kroz inspekciju ili kontrole pristupa poništavaju tu prednost. VPN model nultog povjerenja, gdje se svaka veza autentificira i autorizira po sesiji prije nego što se mrežni pristup odobri, znači da napadač ne može dosegnuti kontroler domene preko kompromitiranog krajnjeg uređaja bez prethodnog ispunjavanja dodatnog sloja provjere.
Mikro-segmentacija na mrežnom sloju, bilo putem softverski definiranog umrežavanja ili fizičkog odvajanja VLAN-ova, osigurava da čak i kompromitirana radna stanica na internoj mreži ne može izravno doći do portova kontrolera domene. To ograničava radijus udara čak i ako je napadač već uspostavio uporište negdje drugdje.
Status zakrpa, indikatori otkrivanja i dugoročno očvršćivanje infrastrukture
Microsoft je izdao zakrpu za CVE-2026-41089 u sklopu ciklusa zakrpa u utorak u svibnju 2026. (Patch Tuesday). Organizacije bi trebale provjeriti jesu li kontroleri domene posebno primili i uspješno primijenili ovo ažuriranje. Kontroleri domene često su isključeni iz standardnih procesa upravljanja zakrpama zbog brige o neprekidnosti rada, što ih može ostaviti nevidljivo nezakrpanima.
Za otkrivanje, sigurnosni timovi trebali bi nadgledati neuobičajenu Netlogon RPC aktivnost koja dolazi s neočekivanih izvornih IP adresa, osobito onih izvan poznatih podmreža za upravljanje. Događaji stvaranja procesa na SYSTEM razini na kontrolerima domene koji ne odgovaraju poznatoj administrativnoj aktivnosti snažan su indikator post-eksploatacije. ID-jevi događaja povezani sa zahtjevima za replikaciju direktorija iz ne-standardnih izvora također bi trebali biti označeni.
Dugoročno gledano, obrazac visoko ozbiljnih Windows ranjivosti koje se iskorištavaju u brzom slijedu ukazuje na potrebu za otpornijom infrastrukturnom pozicijom. Istraživači na Pwn2Own Berlin 2026 demonstrirali su eksploate uživo protiv Windows 11 i Edgea, naglašavajući da je cjevovod otkrivanja Windows ranjivosti i dalje aktivan. Modeli višeslojne administracije (tiered administration), gdje je upravljanje kontrolerima domene izolirano na namjenske administrativne radne stanice bez pristupa internetu, smanjuju broj puteva koje napadač može koristiti da priđe najosjetljivijim sustavima u okruženju.
Što ovo znači za vas
Ako upravljate ili savjetujete o poslovnim Windows mrežama, CVE-2026-41089 nije ranjivost koju možete odgoditi. Neautentificirana, pre-auth priroda eksploata znači da samo perimetarske obrane nisu dovoljne. Zakrpa iz svibnja 2026. mora biti na svakom kontroleru domene u vašem okruženju, potvrđena i provjerena, a ne samo pretpostavljena.
Osim zakrpe, ovo je trenutak da revidirate sprječavaju li vaše VPN i kontrole segmentacije proizvoljnim internim hostovima da dosegnu portove kontrolera domene. Provjerite postoje li praznine u vašim politikama nultog povjerenja koje bi omogućile kompromitiranom krajnjem uređaju da pokrene Netlogon veze bez dodatne provjere. Provjerite može li vaša hibridna Azure AD konfiguracija proširiti kompromitaciju lokalne šume na resurse u oblaku.
Organizacije koje iz ovog vala aktivnog iskorištavanja izađu s netaknutom infrastrukturom bit će one koje su segmentaciju mreže i provjeru zakrpa tretirale kao kontinuirane discipline, a ne kao jednokratne kućice za označavanje. Počnite sa zakrpom. Zatim nastavite s pregledom arhitekture.
