Vulnerabilitate critică Windows Netlogon (CVE-2026-41089) exploatată activ

O vulnerabilitate critică în serviciul Windows Netlogon, identificată drept CVE-2026-41089, este acum exploatată activ în atacuri reale. Defectul afectează sistemele Windows Server care acționează ca controlere de domeniu și are un scor CVSS de 9,8. Exploatarea cu succes permite unui atacator să execute cod arbitrar cu privilegii SYSTEM, fără să aibă nevoie de acreditări, interacțiune cu utilizatorul sau acces prealabil la rețea.

Microsoft a remediat problema pe 12 mai, ca parte a actualizării lunare Patch Tuesday, care a corectat în total 138 de CVE-uri. Inițial, compania a considerat că probabilitatea de exploatare este scăzută. Însă pe 29 mai, Centrul de Securitate Cibernetică din Belgia a semnalat atacuri active, iar până pe 1 iunie, Microsoft a confirmat că încă analizează rapoartele și nu a actualizat încă portalul MSRC.

Gravitatea vulnerabilității vine din rolul critic pe care controlerele de domeniu îl au în Active Directory. Netlogon se ocupă de mecanisme esențiale de autentificare, iar compromiterea unui controler de domeniu îi oferă atacatorului control total asupra întregului mediu al domeniului. Asta poate duce la crearea de conturi privilegiate, furtul de date, instalarea de ransomware și mișcarea laterală în rețeaua corporativă.

Vulnerabilitatea este un buffer overflow bazat pe stivă. Un atacator poate trimite doar o cerere de rețea special concepută către un controler de domeniu. Dacă sistemul nu este actualizat, serviciul Netlogon poate procesa incorect cererea, permițând executarea de cod cu cele mai mari privilegii de sistem.

Experții îndeamnă organizațiile să nu mai aștepte confirmări suplimentare și să aplice de urgență actualizarea cumulativă Windows Server din 12 mai, dacă nu a fost deja instalată. De asemenea, recomandă limitarea accesului la controlerele de domeniu din rețele externe și să permită traficul Netlogon doar din surse interne de încredere. Pentru firmele care amână de obicei aplicarea actualizărilor cu 30 de zile, această vulnerabilitate este extrem de periculoasă, deoarece intervalul dintre lansarea patch-ului și apariția primelor rapoarte de exploatare s-a dovedit deja alarmant de scurt.