Danny Weber
Una vulnerabilità critica (CVE-2026-41089) in Netlogon di Windows Server consente a un attaccante di eseguire codice arbitrario con privilegi SYSTEM. Patch disponibile dal 12 maggio. Aggiornate subito i controller di dominio.
Una vulnerabilità critica nel servizio Netlogon di Windows, identificata come CVE-2026-41089, è ora oggetto di attacchi in corso. Il difetto riguarda i sistemi Windows Server che fungono da controller di dominio e ha un punteggio CVSS di 9,8. Un attacco riuscito permette a un malintenzionato di eseguire codice arbitrario con privilegi SYSTEM senza richiedere credenziali, interazione dell'utente o accesso di rete preliminare.
Microsoft ha risolto il problema il 12 maggio con il suo consueto Patch Tuesday, che ha corretto 138 vulnerabilità. Inizialmente l'azienda aveva valutato bassa la probabilità di sfruttamento. Tuttavia, il 29 maggio il Centro di Cybersecurity belga ha lanciato l'allarme per attacchi attivi, e il 1° giugno Microsoft ha confermato di essere ancora al lavoro sulle segnalazioni, senza aver ancora aggiornato il portale MSRC.
La criticità di CVE-2026-41089 è legata al ruolo fondamentale dei controller di dominio in Active Directory. Netlogon gestisce meccanismi di autenticazione essenziali, e compromettere un controller di dominio significa consegnare di fatto all'attaccante il controllo totale sull'intero dominio. Questo può tradursi in creazione di account privilegiati, furto di dati, diffusione di ransomware e movimento laterale all'interno della rete aziendale.
Si tratta di un buffer overflow sullo stack. L'attaccante invia una semplice richiesta di rete appositamente predisposta a un controller di dominio. Se il sistema non è aggiornato, il servizio Netlogon potrebbe gestire erroneamente la richiesta, permettendo l'esecuzione di codice con i massimi privilegi di sistema.
Gli esperti invitano le organizzazioni a non attendere ulteriori conferme e a installare subito l'aggiornamento cumulativo di Windows Server del 12 maggio, se non è già stato applicato. Consigliano inoltre di limitare l'accesso ai controller di dominio dalle reti esterne e di consentire il traffico Netlogon solo da fonti interne attendibili. Per le aziende che tendono a posticipare l'aggiornamento di 30 giorni, questa vulnerabilità è particolarmente pericolosa: l'intervallo tra la pubblicazione della patch e le segnalazioni di attacchi si è già rivelato sorprendentemente breve.
© E. Vartanyan