CVE-2026-41089: удалённое выполнение кода в Netlogon теперь активно эксплуатируется

CVE-2026-41089: удалённое выполнение кода в Netlogon теперь активно эксплуатируется

Критическая уязвимость в протоколе Netlogon Microsoft, отслеживаемая как CVE-2026-41089, перешла из состояния исправленной уязвимости в активную эксплуатацию. По предупреждениям нескольких национальных органов кибербезопасности, злоумышленники уже используют эту ошибку в реальных атаках на корпоративные сети. Последствия успешного вторжения серьёзны: неаутентифицированное удалённое выполнение кода с правами SYSTEM на контроллерах домена, что может означать полный контроль над всем лесом Active Directory организации. Если в вашей организации используются контроллеры домена Windows, и вы ещё не применили майское 2026 года обновление, это чрезвычайная ситуация, требующая немедленных действий.

Что делает CVE-2026-41089 и почему контроллеры домена являются самой ценной целью

Netlogon — это протокол Windows, отвечающий за аутентификацию пользователей и компьютеров в домене. Он обрабатывает одни из самых привилегированных коммуникаций в любой сети Windows, включая защищённый канал между клиентами и контроллерами домена. CVE-2026-41089 открывает путь удалённого выполнения кода, не требующий какой-либо аутентификации. Злоумышленник, имеющий сетевой доступ к контроллеру домена, может отправить специально сформированное сообщение Netlogon, вызвать уязвимость и получить оболочку с правами SYSTEM, не предъявив ни единого учётного данных.

Контроллеры домена — это главное сокровище любой среды Windows. Они хранят ключи ко всем учётным записям пользователей, групповым политикам, токенам аутентификации и доверительным отношениям в сети. Компрометация одного контроллера домена обычно означает компрометацию всего леса Active Directory, так как злоумышленник с доступом SYSTEM может реплицировать базу данных домена, извлечь хеши учётных данных и подделывать билеты Kerberos по своему усмотрению. Это не повышение привилегий, начинающееся с низкопривилегированной точки входа. Атака начинается с полного контроля.

Эта серьёзность напоминает более ранние проблемы Netlogon, и поверхность атаки столь же широка. Любая система, предоставляющая Netlogon RPC (обычно TCP-порт 445 или динамический диапазон RPC) ненадёжным сегментам сети, является кандидатом на эксплуатацию.

Как разворачивается активная эксплуатация: от неаутентифицированного доступа к полной компрометации леса AD

Цепочка атаки чрезвычайно коротка, что делает эту уязвимость особенно опасной. Злоумышленник, сканирующий доступные контроллеры домена, может определить цель, создать вредоносный запрос Netlogon RPC и добиться выполнения кода на уровне SYSTEM в рамках одного неаутентифицированного обмена. Нет необходимости фишить пользователя, красть пароль или перемещаться через несколько систем.

Как только злоумышленник получает доступ SYSTEM на контроллере домена, его следующие шаги хорошо известны. Он может извлечь базу данных NTDS.dit (хранилище учётных данных Active Directory), извлечь хеши учётной записи KRBTGT для создания «золотых билетов» и создать постоянные учётные записи-бэкдоры, которые сохраняются даже после смены паролей. С этой позиции перемещение по всему лесу становится простым.

Подобная быстрая эскалация — повторяющаяся тема в недавней активности угроз, направленной на Microsoft. Уязвимость нулевого дня MiniPlasma, дающая доступ SYSTEM на пропатченных машинах Windows, следует схожей логике повышения привилегий, и злоумышленники продемонстрировали готовность комбинировать несколько уязвимостей Windows, чтобы быстро добраться до высокоценных целей. Тем временем атакующие, нацеленные на облако, например стоящие за кампанией Storm-2949 в Microsoft 365, показали, что как только локальный лес скомпрометирован, гибридные конфигурации Azure AD могут расширить зону поражения и на облачных арендаторов.

Сегментация сети и нулевое доверие на основе VPN как немедленные меры снижения риска

Установка исправлений — единственное полное решение, но выбор сетевой архитектуры может значительно снизить вероятность эксплуатации в период до развёртывания или подтверждения установки патчей.

Самый важный немедленный шаг — ограничить, какие системы могут обращаться к контроллерам домена через порты, связанные с Netlogon. Контроллеры домена никогда не должны быть напрямую доступны с обычных рабочих станций, гостевых сетей или любого сегмента, к которому может получить доступ внешняя сторона. Правила брандмауэра, разрешающие только определённым, именованным серверам (рядовым серверам, которым действительно требуется обмен данными по Netlogon) подключаться к контроллерам домена на соответствующих портах, сокращают поверхность атаки только до этих систем.

Архитектура VPN играет здесь непосредственную роль. Организации, которые направляют трафик удалённых пользователей или филиалов через туннель VPN до достижения внутренней доменной инфраструктуры, имеют естественную точку принудительного контроля. Конфигурации с раздельным туннелированием, которые оставляют внутренние административные протоколы открытыми, не проходя проверку или контроль доступа, лишают этого преимущества. Модель нулевого доверия VPN, где каждое подключение аутентифицируется и авторизуется для каждой сессии перед предоставлением сетевого доступа, означает, что злоумышленник не может добраться до контроллера домена через скомпрометированную конечную точку, не пройдя сначала дополнительный уровень проверки.

Микросегментация на сетевом уровне, будь то через программно-определяемые сети или физическое разделение VLAN, гарантирует, что даже скомпрометированная рабочая станция во внутренней сети не сможет напрямую подключиться к портам контроллера домена. Это ограничивает радиус поражения, даже если злоумышленник уже закрепился в другом месте.

Статус исправления, индикаторы обнаружения и долгосрочное укрепление инфраструктуры

Microsoft выпустила исправление для CVE-2026-41089 в рамках майского 2026 года цикла Patch Tuesday. Организациям следует проверить, что именно контроллеры домена получили и успешно применили это обновление. Контроллеры домена иногда исключаются из стандартных процессов управления исправлениями из-за требований непрерывной работы, что может оставить их незаметно неисправленными.

Для обнаружения командам безопасности следует отслеживать аномальную активность Netlogon RPC, исходящую от неожиданных исходных IP-адресов, особенно находящихся за пределами известных управляющих подсетей. События создания процессов с уровнем SYSTEM на контроллерах домена, не соответствующие известной административной деятельности, являются явным признаком постэксплуатации. Также следует отмечать идентификаторы событий, связанные с запросами репликации каталога из нестандартных источников.

В долгосрочной перспективе тенденция к быстрой последовательной эксплуатации критических уязвимостей Windows указывает на необходимость более устойчивой архитектуры инфраструктуры. Исследователи на Pwn2Own Berlin 2026 продемонстрировали живые эксплойты против Windows 11 и Edge, подчёркивая, что конвейер обнаружения уязвимостей Windows остаётся активным. Модели многоуровневого администрирования, при которых управление контроллерами домена изолировано на выделенных административных рабочих станциях без доступа в интернет, сокращают количество путей, которыми злоумышленник может приблизиться к самым чувствительным системам среды.

Что это значит для вас

Если вы управляете корпоративными сетями Windows или консультируете по ним, CVE-2026-41089 — не та уязвимость, которую можно отложить. Неаутентифицированный, допроверочный характер эксплойта означает, что одних только периметровых защит недостаточно. Майское 2026 года исправление должно быть установлено на каждом контроллере домена в вашей среде, подтверждено и проверено, а не просто предполагаться.

Помимо установки исправлений, сейчас самое время проверить, действительно ли ваши средства VPN и сегментации предотвращают доступ произвольных внутренних хостов к портам контроллеров домена. Проверьте политики нулевого доверия на наличие пробелов, позволяющих скомпрометированной конечной точке инициировать Netlogon-соединения без дополнительной проверки. Оцените, может ли ваша гибридная конфигурация Azure AD расширить компрометацию локального леса на облачные ресурсы.

Те организации, которые переживут эту волну активной эксплуатации с сохранной инфраструктурой, — это те, кто относился к сегментации сети и проверке исправлений как к непрерывным дисциплинам, а не к разовым галочкам. Начните с исправления. Затем проведите анализ архитектуры.