Активно експлоатират критична уязвимост в Windows Netlogon

Centre for Cybersecurity Belgium (CCB) предупреди, че атакуващи вече активно експлоатират критичната уязвимост CVE-2026-41089 в Windows Netlogon, която позволява отдалечено изпълнение на код (RCE) срещу domain controller сървъри.

Уязвимостта беше коригирана от Microsoft по време на Patch Tuesday през май 2026 г., но според белгийските власти вече се използва в реални атаки.

Какво представлява CVE-2026-41089

Netlogon е основна RPC услуга в Windows Server, използвана за удостоверяване на потребители и услуги в Active Directory среди.

Според Microsoft проблемът представлява stack-based buffer overflow в Netlogon, който позволява на неавтентикиран атакуващ да изпрати специално подготвена мрежова заявка към domain controller.

При успешно експлоатиране нападателят може:

да изпълнява произволен код;
да получи контрол върху domain controller;
да компрометира Active Directory инфраструктурата;
да извършва lateral movement в корпоративната мрежа.

Особено тревожно е, че атаката не изисква предварителен достъп или валидни акаунти.

Засегнати са всички поддържани Windows Server версии

CVE-2026-41089 засяга всички поддържани версии на Windows Server, включително:

Windows Server 2016;
Windows Server 2019;
Windows Server 2022;
Windows Server 2025.

Белгийският CCB публикува кратко, но спешно предупреждение:

“CVE-2026-41089 in Windows Netlogon is now actively exploited in the wild and could lead to RCE. Patch as quickly as possible.”

Уязвимостта има CVSS оценка 9.8, което я поставя в категорията „критични“.

Microsoft все още не е потвърдила публично активната експлоатация

Към момента Microsoft не е обновила официалния advisory с информация за exploitation in the wild, въпреки предупреждението на CCB.

Уязвимостта е открита от вътрешния екип Windows Attack Research & Protection (WARP) към Microsoft.

Поредна серия критични Windows zero-day проблеми

Новината идва на фона на нарастващ брой сериозни Windows zero-day уязвимости през последните месеци.

Сред тях са:

YellowKey (CVE-2026-45585) – BitLocker bypass/backdoor;
BlueHammer (CVE-2026-33825);
RedSun (CVE-2026-41091);
GreenPlasma;
MiniPlasma;
UnDefend (CVE-2026-45498).

Част от тях вече се използват активно в атаки.

Особено внимание привлече анонимният изследовател „Nightmare Eclipse“, който публикува PoC експлойти за няколко от уязвимостите. Microsoft реагира остро, включително с намеци за възможни правни действия и сътрудничество с правоохранителните органи.

Какво трябва да направят администраторите

Експертите препоръчват незабавно:

инсталиране на майските Patch Tuesday актуализации;
проверка на всички domain controller системи;
ограничаване на достъпа до RPC услуги;
мониторинг за подозрителен Netlogon трафик;
засилено наблюдение на Active Directory инфраструктурата.

Предвид критичния характер на Netlogon и ролята му в Windows домейните, успешна атака може да доведе до пълен компромис на корпоративната среда.

#Active Directory, # CVE-2026-41089, # microsoft, # RCE, # Windows Netlogon

e-security.bg

Подобни

CISA предупреждава за активна експлоатация на уязвимост в SolarWinds Serv-U

8.06.2026

Cisco c активно експлоатирана 0-day уязвимост в Catalyst SD-WAN Manager

8.06.2026

Microsoft отстрани проблем, който инсталира драйвери на Windows

5.06.2026

Критична уязвимост в Cisco Unified Communications Manager

5.06.2026

CISA предупреждава за активно експлоатирани уязвимости в Android и Linux

4.06.2026

Acer предупреждава за двe критични zero-day уязвимости в Wave 7

4.06.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"