CVE-2026-41089: віддалене виконання коду в Netlogon тепер активно експлуатується

CVE-2026-41089: віддалене виконання коду в Netlogon тепер активно експлуатується

Критична вразливість у протоколі Netlogon від Microsoft, що відстежується як CVE-2026-41089, перетворилася з пропатченої вразливості на активну експлуатацію. За попередженнями кількох національних органів із кібербезпеки, зловмисники вже використовують цю помилку в реальних атаках на корпоративні мережі. Наслідки успішного вторгнення є надзвичайно серйозними: неавтентифіковане віддалене виконання коду на рівні SYSTEM на контролерах домену, що може означати повний контроль над усім лісом Active Directory організації. Якщо у вашій організації працюють контролери домену Windows і ви ще не застосували пакет виправлень за травень 2026 року, це надзвичайна ситуація, яка потребує негайних дій.

Що робить CVE-2026-41089 і чому контролери домену є найціннішою ціллю

Netlogon — це протокол Windows, який відповідає за автентифікацію користувачів і машин у межах домену. Він обробляє одні з найпривілейованіших комунікацій у будь-якій мережі Windows, включно з захищеним каналом між клієнтами та контролерами домену. CVE-2026-41089 відкриває шлях для віддаленого виконання коду, який взагалі не потребує автентифікації. Зловмисник, що має доступ на мережевому рівні до контролера домену, може надіслати спеціально сконструйоване повідомлення Netlogon, активувати вразливість і отримати командну оболонку рівня SYSTEM ще до того, як представить бодай якісь облікові дані.

Контролери домену — це «царські коштовності» будь-якого середовища Windows. Вони зберігають ключі до кожного облікового запису користувача, групових політик, токенів автентифікації та довірчих відносин у мережі. Скомпрометувати один контролер домену зазвичай означає скомпрометувати весь ліс Active Directory, оскільки зловмисник із доступом на рівні SYSTEM може реплікувати базу даних домену, витягувати хеші облікових даних і створювати квитки Kerberos на власний розсуд. Це не підвищення привілеїв, що починається з малопривілейованої точки опори. Воно починається з повного контролю.

Серйозність нагадує попередні проблеми з Netlogon, і поверхня атаки є так само широкою. Будь-яка система, яка відкриває RPC Netlogon (зазвичай TCP-порт 445 або динамічний діапазон RPC) для ненадійних мережевих сегментів, є кандидатом на експлуатацію.

Як розгортається активна експлуатація: від неавтентифікованого доступу до повної компрометації лісу AD

Ланцюжок атаки є надзвичайно коротким, і це одна з причин, чому ця вразливість настільки небезпечна. Зловмисник, що сканує відкриті контролери домену, може визначити ціль, створити шкідливий RPC-запит Netlogon і досягти виконання коду на рівні SYSTEM за один неавтентифікований обмін. Немає потреби фішити користувача, викрадати пароль або пересуватися через кілька систем спочатку.

Щойно доступ на рівні SYSTEM на контролері домену отримано, подальші кроки зловмисника добре задокументовані. Він може вивантажити базу даних NTDS.dit (сховище облікових даних Active Directory), витягти хеші облікового запису KRBTGT для створення «золотих квитків» і створити постійні бекдори-облікові записи, які переживають навіть скидання паролів. З цієї позиції горизонтальне переміщення по всьому лісу стає тривіальним.

Така швидка ескалація є повторюваною темою в нещодавній активності, спрямованій на середовище Microsoft. Вразливість нульового дня MiniPlasma, яка надає SYSTEM-доступ на пропатчених комп’ютерах Windows, дотримується подібної логіки підвищення привілеїв, а зловмисники продемонстрували готовність комбінувати кілька вразливостей Windows, щоб швидко дістатися до найцінніших цілей. Водночас зловмисники, націлені на хмарні середовища, як-от ті, що стоять за кампанією Storm-2949 у Microsoft 365, показали: щойно локальний ліс скомпрометовано, гібридні конфігурації Azure AD можуть поширити вибухову хвилю також на хмарні інфраструктури.

Мережева сегментація та Zero Trust із примусовим VPN як негайні заходи пом’якшення

Встановлення виправлень є єдиним повним вирішенням, однак рішення щодо мережевої архітектури можуть різко знизити ймовірність експлуатації у проміжку часу до розгортання або підтвердження патчів.

Найважливішим негайним кроком є обмеження того, які системи можуть звертатися до контролерів домену через порти, пов’язані з Netlogon. Контролери домену ніколи не повинні бути безпосередньо доступними з робочих станцій загального призначення, гостьових мереж чи будь-якого сегмента, до якого може отримати доступ зовнішня сторона. Правила брандмауера, які гарантують, що лише конкретні, зазначені сервери (сервери-члени, які легітимно потребують взаємодії з Netlogon) можуть підключатися до контролерів домену на відповідних портах, зменшують поверхню атаки лише до цих систем.

Архітектура VPN відіграє тут безпосередню роль. Організації, які дозволяють віддаленим користувачам або філіям спрямовувати трафік через тунель VPN перед тим, як досягти внутрішньої доменної інфраструктури, мають природну точку контролю. Конфігурації з розділеним тунелюванням, які залишають внутрішні адміністративні протоколи відкритими без проходження через інспекцію або засоби керування доступом, усувають цю перевагу. Модель Zero Trust VPN, де кожне з’єднання автентифікується та авторизується окремо для кожної сесії перед наданням доступу до мережі, означає, що зловмисник не може досягти контролера домену через скомпрометовану кінцеву точку, не пройшовши додаткового рівня перевірки.

Мікросегментація на мережевому рівні — через програмно-визначені мережі або фізичне розділення VLAN — гарантує, що навіть скомпрометована робоча станція у внутрішній мережі не зможе безпосередньо звернутися до портів контролерів домену. Це обмежує вибухову хвилю, навіть якщо зловмисник уже закріпився в іншому місці.

Статус виправлення, індикатори виявлення та довгострокове зміцнення інфраструктури

Microsoft випустила виправлення для CVE-2026-41089 у складі «вівторка виправлень» за травень 2026 року. Організації повинні переконатися, що саме контролери домену отримали й успішно застосували це оновлення. Контролери домену іноді виключають зі стандартних процесів керування патчами через вимоги безперервної роботи, що може залишити їх непомітно непропатченими.

Для виявлення командам безпеки слід відстежувати аномальну активність Netlogon RPC з неочікуваних IP-адрес джерела, особливо тих, що не належать до відомих підмереж керування. Події створення процесів на рівні SYSTEM на контролерах домену, які не відповідають відомій адміністративній діяльності, є серйозним індикатором постексплуатації. Ідентифікатори подій, пов’язані із запитами реплікації каталогу з нестандартних джерел, також слід позначати як підозрілі.

У довгостроковій перспективі шаблон висококритичних вразливостей Windows, які швидко експлуатуються одна за одною, вказує на необхідність більш стійкої позиції інфраструктури. Дослідники на Pwn2Own Berlin 2026 продемонстрували живі експлойти проти Windows 11 та Edge, підкреслюючи, що потік виявлення вразливостей Windows залишається активним. Моделі багаторівневого адміністрування, де керування контролерами домену ізольовано на виділених адміністративних робочих станціях без доступу до інтернету, зменшують кількість шляхів, якими зловмисник може наблизитися до найчутливіших систем у середовищі.

Що це означає для вас

Якщо ви керуєте корпоративними мережами Windows або консультуєте щодо них, CVE-2026-41089 — це не та вразливість, яку можна відкласти. Неавтентифікована природа експлойту означає, що лише периметрального захисту недостатньо. Травневе виправлення 2026 року має бути встановлено на кожному контролері домену у вашому середовищі — підтверджено та перевірено, а не просто припущено.

Окрім виправлень, це момент для аудиту того, чи ваші засоби VPN та сегментації справді запобігають довільним внутрішнім хостам досягати портів контролерів домену. Перевірте свою політику Zero Trust на наявність прогалин, які дозволили б скомпрометованій кінцевій точці ініціювати з’єднання Netlogon без додаткової перевірки. Проаналізуйте, чи може ваша гібридна конфігурація Azure AD поширити компрометацію локального лісу на хмарні ресурси.

Організації, які вийдуть із цієї хвилі активної експлуатації з неушкодженою інфраструктурою, будуть тими, хто поставився до мережевої сегментації та перевірки виправлень як до безперервних дисциплін, а не як до одноразових пунктів у списку. Почніть із виправлення. А потім проведіть огляд архітектури.