Kritická zranitelnost Windows Netlogon: CVE‑2026‑41089 aktivně zneužívána v divočině

• AV:N – zneužitelná po síti,
• AC:L – s nízkou složitostí útoku,
• PR:N – nevyžaduje žádná oprávnění,
• UI:N – nepotřebuje interakci uživatele.

Důsledkem je úplné prolomení důvěrnosti (C:High), integrity (I:High) i dostupnosti (A:High) cílového systému. Bezpečnostní výzkumníci a expertní platformy tuto zranitelnost popisují jako prakticky wormovatelnou (samostatně se šířící), a to právě kvůli zneužitelnosti před autentizací a klíčové roli doménových řadičů v identitní infrastruktuře enterprise Windows . Jason Kikta, CTO společnosti Automox, k tomu říká: „Napůl záplatované doménové struktury (forests) nejsou obhajitelným stavem pro pre‑auth chybu na doménovém řadiči,“ a doporučuje kromě záplatování omezit provoz Netlogonu na síťové vrstvě .

Veřejný proof‑of‑concept kód se objevil na GitHubu, což historicky urychluje hromadné zneužití během 24–72 hodin . Organizace by proto měly předpokládat, že automatické skenovací nástroje a exploitační toolkity již kolují.

Ovlivněné verze Windows Serveru

Zranitelnost se týká všech podporovaných edic Windows Serveru se spuštěnou službou Netlogon, které nebyly záplatovány po 12. květnu 2026 . Seznamy zveřejněné různými bezpečnostními firmami i databází NVD identifikují následující zranitelné edice :

• Windows Server 2012 a 2012 R2 (všechny instalace, včetně Server Core)
• Windows Server 2016
• Windows Server 2019 (včetně Server Core)
• Windows Server 2022 (edice 21H2, 22H2 a 23H2, včetně Server Core)
• Windows Server 2025

Chyba se nachází ve zpracování protokolu MS‑NRPC a lze ji spustit přes TCP port 445 (SMB) nebo UDP port 389 (CLDAP, slouží k lokalizaci doménových řadičů) . To znamená, že typické cesty, jimiž jsou doménové řadiče v síti dostupné, útočníkům stačí.

Dostupnost záplat

Oficiální aktualizace Microsoftu

Opravy vydal Microsoft 12. května 2026 . Organizace by měly okamžitě nasadit příslušnou aktualizaci pro dané sestavení Windows Serveru. Databáze zranitelností společnosti Rapid7 uvádí tyto identifikátory KB pro podporované distribuce :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Záplatujte všechny doménové řadiče během jediného, co nejkratšího servisního okna. Důvodem je pre‑auth povaha zranitelnosti a probíhající aktivní zneužívání .

Mikrozáplata 0patch pro starší systémy

Pro organizace, které provozují Windows Server ve verzích, jež již oficiální aktualizace od Microsoftu nedostávají (typicky bez placené rozšířené podpory ESU), vydala společnost Acros Security bezplatnou mikrozáplatu prostřednictvím své platformy 0patch . Tato mikrozáplata funguje jako minimální chirurgický zásah: během zpracování relevantního požadavku zmenší na polovinu maximální velikost řetězce reprezentujícího útočníkem kontrolované uživatelské jméno (username), čímž efektivně znemožní přetečení zásobníku bez zásahu do okolního kódu .

0patch potvrdil dostupnost mikrozáplaty pro:

• Windows Server 2012 (bez ESU)
• Windows Server 2012 R2 (bez ESU)

Mikrozáplata se nasazuje a aplikuje přímo v paměti prostřednictvím agenta 0patch, a to bez restartu systému. To je výhodné pro prostředí, kde se restarty doménových řadičů musejí pečlivě plánovat. 0patch nabízí podobné mikrozáplaty pro kritické zranitelnosti i pro starší systémy jako Windows Server 2008 R2 či Windows 7 .

Hlavní zásady urgentní obrany a reakce

Samotné záplatování odstraní zranitelnou cestu v kódu, ale neodhalí a neodstraní útočníka, který už mohl zranitelnost před aplikací záplaty zneužít. CCB výslovně upozorňuje, že záplata chrání před budoucím zneužitím, ale nenapravuje případnou existující kompromitaci .

Primární akce dle CCB

1. Okamžitě záplatujte s nejvyšší prioritou – Nasaďte oficiální květnové aktualizace Microsoftu na všechny doménové řadiče. Nečekejte na další servisní okno; jedná se o aktivně zneužívanou hrozbu .
2. Zvyšte monitoring a detekci – Zaměřte se na podezřelou aktivitu směřující na doménové řadiče, zejména neobvyklý provoz služby Netlogon, atypické vzory RPC a LDAP dotazů .
3. Předpokládejte možnou předchozí kompromitaci – Každý doménový řadič, který byl mezi 12. květnem a okamžikem aplikace záplaty v síti vystavený a nezáplatovaný, by měl projít forenzní kontrolou na přítomnost známek průniku .
4. Zkraťte okno pro záplatování – Projděte postupně všechny doménové řadiče během co nejmenšího počtu servisních oken. Napůl záplatovaný doménový les je zneužitelný les .
5. Po záplatování znovu ověřte – Znovu spusťte skenování záplat a prověřte, že žádné zranitelné DC nezůstalo dostupné .

Dodatečná obranná opatření odborníků

• Segmentujte doménové řadiče – Omezte síťový přístup k DC tak, aby se k nim dostal pouze explicitně povolený provoz správy a infrastruktury. Blokujte porty související s Netlogonem (TCP 445, UDP 389) z nedůvěryhodných segmentů a segmentů směřujících do internetu na úrovni perimetru i interních firewallů.
• Omezte provoz Netlogonu na síťové vrstvě – Kromě hostitelských firewallů vynucujte na síťové úrovni pravidla ACL (access control lists), omezující které systémy vůbec smějí iniciovat spojení na DC přes zranitelné protokoly.
• Zvyšte bezpečnost privilegovaných přístupových cest – Zrevidujte a minimalizujte účty s privilegovaným přístupem na doménové řadiče. Kompromitace účtu SYSTEM na DC obvykle okamžitě vede ke krádeži přihlašovacích údajů a laterálnímu pohybu .
• Monitorujte post‑exploitační aktivitu – Hledejte neobvyklé chování služeb, nečekané restarty DC, pády procesu LSASS, vytváření nových administrátorských účtů či anomální požadavky na Kerberos lístky. To vše může značit zneužití nebo navazující fáze útoku .
• Zaujměte plný přístup „předpokládej prolomení“ – Dokud není dokončena důkladná forenzní kontrola, považujte všechny dříve nezáplatované doménové řadiče za potenciálně kompromitované.

Důležité upozornění: EPSS a falešný pocit bezpečí

Model EPSS (Exploit Prediction Scoring System) ukazoval u CVE‑2026‑41089 pravděpodobnost zneužití 0,09 % . EPSS je však statistický model trénovaný na historických datech a nedokáže zohlednit aktivní zneužívání, které už v reálném světě probíhá. Ve chvíli, kdy národní kyberbezpečnostní autorita jako belgické CCB vydá varování o aktivním zneužívání, musejí organizace stanovovat priority podle potvrzené reálné hrozby, nikoli na základě statistických predikcí.

Pokud se setkáte s bezpečnostním incidentem v souvislosti s touto zranitelností, můžete jej nahlásit přes formulář belgického CERT: https://ccb.belgium.be/cert/report-incident.