Danny Weber
Windows Netlogon脆弱性(CVE-2026-41089、CVSS9.8)が悪用中。認証不要でドメインコントローラーにリモートコード実行。直ちに5月の累積更新を適用し、外部アクセスを制限してください。
現在、WindowsのNetlogonサービスに存在する深刻な脆弱性(CVE-2026-41089)が実際に悪用され始めている。この脆弱性はドメインコントローラーとして動作するWindows Serverに影響し、CVSSスコアは9.8と評価されている。攻撃に成功すると、認証情報やユーザーの操作、事前のネットワークアクセスを一切必要とせずに、SYSTEM権限で任意のコードを実行できる。
マイクロソフトは5月12日の月例アップデート(Patch Tuesday)でこの問題に対処し、合計138件のCVEにパッチを適用した。当初、同社は悪用の可能性は低いと見ていた。しかし、5月29日にベルギーのサイバーセキュリティセンターが活発な攻撃を警告したことを受け、6月1日にはマイクロソフトが調査を続けており、MSRCポータルはまだ更新されていないと認めた。
この脆弱性が深刻なのは、Active Directoryにおいてドメインコントローラーが極めて重要な役割を担っているからだ。Netlogonは認証の根幹を担う仕組みであり、ドメインコントローラーが乗っ取られれば、攻撃者はドメイン環境全体を掌握することになる。結果として、特権アカウントの作成、データの窃取、ランサムウェアの展開、ネットワーク内での横展開が可能になる。
この脆弱性はスタックベースのバッファオーバーフローに分類される。攻撃者は細工したネットワークリクエストをドメインコントローラーに送りつけるだけで、もしシステムが更新されていなければ、Netlogonサービスがそのリクエストを誤って処理し、最高レベルのシステム権限でコードが実行されてしまう。
専門家は、確証が得られるのを待たず、5月12日公開の累積的なWindows Server更新プログラムを直ちに適用するよう呼びかけている。同時に、ドメインコントローラーへの外部ネットワークからのアクセスを制限し、Netlogonトラフィックは信頼できる内部ソースからのみ許可するよう推奨している。通常パッチ適用を30日間延期する企業にとって、この脆弱性はとりわけ危険だ。パッチの公開から悪用報告までの期間がすでに驚くほど短いことが明らかになっているからだ。
© E. Vartanyan