Kriittinen CVE-2026-41089 Netlogon-haavoittuvuus Windowsissa: Nollaklikkauksen etähallinta on nyt todellinen uhka

Tietoturvatutkijat ja uhkatiedustelualustat ovat luonnehtineet haavoittuvuutta käytännössä matomaiseksi sen ennen todennusta tapahtuvan hyödynnettävyyden ja toimialueen ohjauspalvelimien keskeisen roolin vuoksi Windows-yritysidentiteetissä . Action1:n arvio tiivistää riskin osuvasti: "Haavoittuvainen toimialueen ohjauspalvelin voi muuttaa yhden muotoillun verkkopyynnön suoraksi poluksi kohti koko yrityksen vaarantamista" . Jason Kikta, Automoxin CTO, varoitti, että "puoliksi korjatut metsät eivät ole puolustettavissa oleva tila ennen todennusta haavoittuvalle DC:lle" ja neuvoi järjestelmänvalvojia rajoittamaan Netlogon-liikennettä verkkotasolla korjaamisen lisäksi .

Julkinen proof-of-concept-hyödyntämiskoodi on ilmestynyt GitHubiin, mikä historiallisesti kiihdyttää joukkohyväksikäyttöä 24–72 tunnin kuluessa . Organisaatioiden tulisi olettaa, että automaattiset skannaus- ja hyödyntämistyökalut ovat jo liikkeellä.

Haavoittuvat Windows Server -versiot

Haavoittuvuus koskee kaikkia tuettuja Windows Server -julkaisuja, joissa Netlogon-palvelu on käynnissä ja joita ei ole korjattu 12. toukokuuta 2026 jälkeen . Useiden tietoturvatoimittajien ja NVD:n julkaisemat tuoteluettelot yksilöivät seuraavat haavoittuvat versiot :

• Windows Server 2012 ja 2012 R2 (kaikki asennukset, mukaan lukien Server Core)
• Windows Server 2016
• Windows Server 2019 (mukaan lukien Server Core)
• Windows Server 2022 (21H2, 22H2, ja 23H2 Editions, mukaan lukien Server Core)
• Windows Server 2025

Ongelma sijaitsee MS-NRPC-käsittelijässä ja sen voi laukaista TCP-portin 445 tai UDP-portin 389 (CLDAP DC-locator -portti) kautta, mikä tarkoittaa, että tavalliset ohjauspalvelimen altistusreitit riittävät hyökkääjälle haavoittuvan koodipolun saavuttamiseen .

Korjaustiedostojen saatavuus

Viralliset Microsoft-tietoturvapäivitykset

Microsoft julkaisi korjaustiedostot CVE-2026-41089:lle 12. toukokuuta 2026 . Organisaatioiden tulee välittömästi asentaa asiaankuuluva päivitys Windows Server -versiolleen. Rapid7:n haavoittuvuustietokanta listaa seuraavat KB-tunnisteet tuetuille jakeluille :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Korjaa kaikki toimialueen ohjauspalvelimet yhdessä ajanjaksossa, jos se on toiminnallisesti mahdollista, sillä haavoittuvuus on ennen todennusta hyödynnettävä ja aktiivisessa hyökkäyskäytössä .

0patch-mikropäivitys vanhoille järjestelmille

Organisaatioille, jotka käyttävät vanhoja Windows Server -asennuksia, joiden tuki on päättynyt ja jotka eivät enää voi vastaanottaa virallisia Microsoftin tietoturvapäivityksiä, Acros Security on julkaissut ilmaisen mikropäivityksen 0patch-alustansa kautta . Tämä mikropäivitys tarjoaa minimaalisen, kirurgisen korjauksen: se puolittaa hyökkääjän hallitseman käyttäjätunnusmerkkijonon maksimikoon haavoittuvan käsittelyn aikana, neutraloiden tehokkaasti pinon ylivuodon muuttamatta asiaankuulumattomia koodipolkuja .

0patch on vahvistanut mikropäivityksen saatavuuden:

• Windows Server 2012 (ei ESU:ta)
• Windows Server 2012 R2 (ei ESU:ta)

Mikropäivitys otetaan käyttöön 0patch-agentin kautta ja se asennetaan muistiin ilman järjestelmän uudelleenkäynnistystä, mikä voi olla arvokasta ympäristöissä, joissa toimialueen ohjauspalvelimien uudelleenkäynnistykset on aikataulutettava huolellisesti. 0patch on pitkään tarjonnut tuen päättymisen jälkeisiä mikropäivityksiä kriittisiin haavoittuvuuksiin Windows Server 2008 R2:een, 2012:een ja 2012 R2:een .

Kiireelliset toimenpideohjeet

Korjaaminen poistaa haavoittuvan koodin, mutta se ei havaitse tai poista hyökkääjää, joka on saattanut jo hyödyntää CVE-2026-41089:ää ennen korjaustiedoston asentamista. CCB varoittaa nimenomaisesti, että korjaaminen suojaa tulevalta hyväksikäytöltä, mutta ei korjaa historiallista tietomurtoa .

CCB:n ensisijaiset toimenpiteet

1. Asenna korjaustiedostot välittömästi korkeimmalla prioriteetilla — Asenna viralliset Microsoftin toukokuun 2026 päivitykset kaikille toimialueen ohjauspalvelimille. Älä odota seuraavaa huoltoikkunaa: kyseessä on aktiivisen hyväksikäytön skenaario .
2. Tehosta valvontaa — Lisää epäilyttävän toiminnan seurantaa, joka kohdistuu toimialueen ohjauspalvelimiin, erityisesti epätavallista Netlogon-liikennettä tai epätyypillisiä RPC- ja LDAP-malleja .
3. Oleta mahdollinen aiempi tietomurto — Kaikki toimialueen ohjauspalvelimet, jotka olivat korjaamattomia ja verkkoaltistettuja 12. toukokuuta ja korjaustiedoston asentamisen välisenä aikana, tulisi tutkia rikosteknisesti tunkeutumisen merkkien varalta .
4. Tiivistä korjausikkuna — Päivitä kaikki toimialueen ohjauspalvelimet mahdollisimman harvoissa huoltosykleissä. Puoliksi korjattu Active Directory -metsä on hyödynnettävä metsä .
5. Varmentele korjauksen jälkeen — Suorita korjaustiedostojen varmennusskannaukset ja altistusarvioinnit uudelleen varmistaaksesi, ettei haavoittuvia ohjauspalvelimia ole enää saavutettavissa .

Muita asiantuntijoiden suosittelemia puolustustoimenpiteitä

• Segmentoi toimialueen ohjauspalvelimet — Rajoita verkkopääsyä ohjauspalvelimiin niin, että vain nimenomaisesti valtuutettu hallinta- ja infrastruktuuriliikenne saavuttaa ne. Estä Netlogoniin liittyvät portit (TCP 445, UDP 389) epäluotetuilta ja internetiin päin olevilta verkkosegmenteiltä niin verkon rajalla kuin sisäisissä palomuureissa.
• Rajoita Netlogon-liikennettä verkkotasolla — Isäntäpalomuurien lisäksi valvo verkkotason pääsynhallintaa, joka rajoittaa sitä, mitkä järjestelmät voivat edes aloittaa yhteyksiä ohjauspalvelimiin haavoittuvien protokollien yli.
• Koveta etuoikeutettuja pääsypolkuja — Tarkasta ja minimoi tilit, joilla on etuoikeutettu pääsy toimialueen ohjauspalvelimiin. Ohjauspalvelimen JÄRJESTELMÄ-kontekstin vaarantuminen johtaa usein suoraan valtuustietojen varastamiseen ja sivuttaisliikkeeseen .
• Tarkkaile hyväksikäytön jälkeistä toimintaa — Etsi epänormaalia palvelukäyttäytymistä, odottamattomia ohjauspalvelimen uudelleenkäynnistyksiä, LSASS-kaatumisia, uusien järjestelmänvalvojatilien luomista ja poikkeavia Kerberos-lippupyyntöjä. Nämä voivat viitata hyväksikäyttöön tai seurantavaiheen hyökkäyksiin .
• Omaksu täysi oleta-tietomurto -asenne — Kunnes perusteellinen rikostekninen tutkinta on valmis, käsittele kaikkia aiemmin korjaamattomia toimialueen ohjauspalvelimia mahdollisesti vaarantuneina.

Tärkeä huomio: EPSS ja käsitys riskistä

Vaikka CVE-2026-41089:n EPSS (Exploit Prediction Scoring System) -todennäköisyydeksi ilmoitettiin 0,09 % , EPSS on todennäköisyyspohjainen malli, joka on koulutettu menneellä datalla eikä ota huomioon aktiivista hyväksikäyttöä, joka on jo vahvistettu todellisissa hyökkäyksissä. Kun kansallinen kyberturvallisuusviranomainen, kuten CCB, antaa aktiivisen hyväksikäytön varoituksen, organisaatioiden on asetettava etusijalle vahvistettu todellinen uhkatoiminta tilastollisen ennusteen sijaan.