Danny Weber
Kritická zranitelnost Netlogon je aktivně zneužívána. Útočník může převzít kontrolu nad doménou bez přihlášení. Nasaďte květnovou aktualizaci Windows Server.
Kritická zranitelnost ve službě Windows Netlogon, označená jako CVE-2026-41089, je v současnosti aktivně zneužívána. Týká se serverů Windows fungujících jako řadiče domény a dosahuje hodnocení CVSS 9,8. Při úspěšném zneužití může útočník spustit libovolný kód s oprávněními SYSTEM – a to bez nutnosti přihlašovacích údajů, zásahu uživatele nebo předchozího přístupu k síti.
Oprava vyšla 12. května v rámci pravidelných aktualizací Patch Tuesday, které celkem řešily 138 CVE. Společnost původně odhadovala pravděpodobnost zneužití jako nízkou. 29. května však belgické Centrum pro kybernetickou bezpečnost varovalo před aktivními útoky. K 1. červnu Microsoft potvrdil, že zprávy stále vyšetřuje a že portál MSRC zatím neaktualizoval.
Závažnost této zranitelnosti pramení z klíčové role, kterou řadiče domény v Active Directory hrají. Netlogon zajišťuje zásadní autentizační mechanismy – kompromitace řadiče domény tak de facto předá útočníkovi plnou kontrolu nad celým doménovým prostředím. To může vést k vytvoření privilegovaných účtů, krádeži dat, nasazení ransomwaru a laterálnímu pohybu po firemní síti.
Zranitelnost spočívá v přetečení zásobníku (stack-based buffer overflow). Útočník odešle speciálně vytvořený síťový požadavek na řadič domény. Pokud systém není aktualizován, může služba Netlogon požadavek zpracovat chybně a umožnit tak spuštění kódu s nejvyššími systémovými oprávněními.
Odborníci vyzývají organizace, aby nečekaly na další potvrzení a okamžitě nasadily kumulativní aktualizaci Windows Server z 12. května, pokud se tak již nestalo. Dále radí omezit přístup k řadičům domény z externích sítí a povolit provoz Netlogonu jen z důvěryhodných interních zdrojů. Pro firmy, které běžně odkládají aktualizace o 30 dní, je tato zranitelnost obzvlášť nebezpečná – doba mezi vydáním opravy a prvním hlášením o zneužití byla alarmující krátká.
© E. Vartanyan