Уязвимость Windows Netlogon начали использовать в атаках

Критическую уязвимость CVE-2026-41089 в службе Windows Netlogon начали активно использовать злоумышленники. Проблема затрагивает Windows Server, работающие в роли контроллеров домена, и получила оценку 9,8 балла по шкале CVSS. При успешной атаке хакер может выполнить произвольный код с правами SYSTEM без учётных данных, участия пользователя или предварительного доступа к сети.

Microsoft закрыла уязвимость ещё 12 мая в рамках майского Patch Tuesday, где было исправлено 138 CVE. При этом компания изначально оценила вероятность эксплуатации как низкую. Однако 29 мая Центр кибербезопасности Бельгии предупредил об активных атаках, а 1 июня Microsoft сообщила, что продолжает проверять эти сведения и пока не обновила данные на портале MSRC.

Опасность CVE-2026-41089 связана с ролью контроллеров домена в инфраструктуре Active Directory. Netlogon отвечает за важные механизмы аутентификации, а компрометация контроллера домена фактически даёт атакующему контроль над всей доменной средой. Это может привести к созданию привилегированных учётных записей, краже данных, распространению вымогательского ПО и дальнейшему перемещению по корпоративной сети.

Уязвимость представляет собой переполнение буфера в стеке. Атакующему достаточно отправить специально сформированный сетевой запрос на сервер, выполняющий роль контроллера домена. Если система не обновлена, служба Netlogon может некорректно обработать запрос и позволить выполнить код с максимальными системными правами.

Эксперты рекомендуют не ждать дополнительных подтверждений и немедленно установить накопительное обновление Windows Server от 12 мая, если оно ещё не развёрнуто. Также следует ограничить доступ к контроллерам домена из внешних сетей и разрешить Netlogon-трафик только из доверенных внутренних источников. Для компаний, которые обычно растягивают установку патчей на 30 дней, эта уязвимость особенно опасна: окно между выпуском исправления и сообщениями об эксплуатации уже оказалось достаточно коротким.