Krytyczna luka w usłudze Netlogon systemu Windows, oznaczona jako CVE-2026-41089, jest obecnie aktywnie wykorzystywana w atakach. Dotyczy serwerów Windows pełniących funkcję kontrolerów domeny i ma ocenę CVSS 9,8. Udane wykorzystanie umożliwia atakującemu wykonanie dowolnego kodu z uprawnieniami SYSTEM bez konieczności posiadania danych uwierzytelniających, interakcji użytkownika czy wcześniejszego dostępu do sieci.
Microsoft załatwił problem 12 maja w ramach comiesięcznej aktualizacji Patch Tuesday, która łatkowała łącznie 138 podatności CVE. Początkowo firma oceniła prawdopodobieństwo wykorzystania luki jako niskie. Jednak 29 maja belgijskie Centrum Cyberbezpieczeństwa ostrzegło przed aktywnymi atakami, a do 1 czerwca Microsoft potwierdził, że nadal bada te zgłoszenia i nie zaktualizował jeszcze portalu MSRC.
Poważność CVE-2026-41089 wynika z kluczowej roli kontrolerów domeny w Active Directory. Netlogon odpowiada za podstawowe mechanizmy uwierzytelniania, a przejęcie kontrolera domeny daje atakującemu pełną kontrolę nad całym środowiskiem domeny. Może to prowadzić do tworzenia uprzywilejowanych kont, kradzieży danych, wdrażania ransomware i przemieszczania się bocznego w sieci firmowej.
Luka to przepełnienie bufora na stosie. Atakujący wysyła specjalnie spreparowane żądanie sieciowe do kontrolera domeny. Jeśli system nie został zaktualizowany, usługa Netlogon może błędnie obsłużyć żądanie, co umożliwia wykonanie kodu z najwyższymi uprawnieniami systemowymi.
Eksperci apelują, aby organizacje nie czekały na dalsze potwierdzenia i natychmiast zastosowały zbiorczą aktualizację Windows Server z 12 maja, jeśli jeszcze tego nie zrobiły. Zalecają również ograniczenie dostępu do kontrolerów domen z sieci zewnętrznych i dopuszczanie ruchu Netlogon tylko z zaufanych źródeł wewnętrznych. Dla firm, które zwykle opóźniają wdrażanie poprawek o 30 dni, ta luka jest szczególnie niebezpieczna – okno czasowe między wydaniem łatki a zgłoszeniami o jej wykorzystaniu jest już alarmująco krótkie.