אזהרת חירום: פרצת Netlogon קריטית מאפשרת השתלטות מרחוק על שרתי ארגון - מתקפות פעילות בשטח

פלטפורמות מחקר ואיסוף מודיעין איומים הגדירו את הפרצה כבעלת פוטנציאל התפשטות דמוי-תולעת מחשב (wormable), וזאת בשל יכולת הניצול שלה בשלב ה-pre-authentication, ובשל התפקיד המרכזי של בקרי הדומיין בעולם הזהויות הארגוני של Windows .

חברת Action1 תיארה את הסיכון בתמציתיות: "בקר דומיין פגיע יכול להפוך בקשת רשת אחת (crafted packet) לנתיב ישיר לפריצה ארגונית מלאה" . ג'ייסון קיקטה (Jason Kikta), סמנכ"ל הטכנולוגיות בחברת Automox, הזהיר ש"חצי יער (forest) מתוקן אינו מצב הגנתי סביר עבור תקלה ב-DC בשלב הקדם-אימות", והמליץ למנהלי מערכות לחסום את תעבורת Netlogon גם בשכבת הרשת, בנוסף להתקנת התיקון .

בנוסף לכך, קוד הוכחת-יכולת (PoC) לניצול החולשה פורסם בפלטפורמת GitHub. היסטורית, פרסום כזה מאיץ מתקפות המוניות תוך 24 עד 72 שעות . ההנחה היא שכלי סריקה וניצול אוטומטיים כבר מסתובבים ברשת.

גרסאות Windows Server המושפעות

החולשה משפיעה על כל הגרסאות הנתמכות של Windows Server שמריצות את שירות Netlogon ואשר לא תוקנו לאחר ה-12 במאי 2026 . לפי רשימות רשמיות שפורסמו על ידי ספקי אבטחה מובילים ומסד הנתונים הלאומי של ארה"ב (NVD), אלו הגרסאות הפגיעות :

• Windows Server 2012 ו-2012 R2 (כל סוגי ההתקנה, כולל Server Core)
• Windows Server 2016
• Windows Server 2019 (כולל Server Core)
• Windows Server 2022 (גרסאות 21H2, 22H2 ו-23H2, כולל Server Core)
• Windows Server 2025

הבעיה נמצאת ברכיב המטפל בפרוטוקול MS-NRPC, וניתן להפעיל אותה דרך פורט TCP 445 או פורט UDP 389 (המשמש לאיתור בקרי דומיין – CLDAP). המשמעות היא שנתיבי החשיפה הסטנדרטיים של בקרי דומיין מספיקים לתוקף כדי להגיע לנתיב הקוד הפגיע .

זמינות התיקונים

עדכוני האבטחה הרשמיים של מיקרוסופט

מיקרוסופט שחררה את התיקונים עבור CVE-2026-41089 ב-12 במאי 2026 . ארגונים נדרשים להחיל באופן מיידי את העדכון המתאים לגרסת ה-Windows Server שלהם. מסד הנתונים של Rapid7 מפרט את מזהי ה-KB להפצות הנתמכות :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

מומלץ לתקן את כל בקרי הדומיין בחלון תחזוקה אחד ודחוס, ככל שהדבר אפשרי תפעולית. זאת מאחר והפרצה מנוצלת באופן פעיל, והיא בשלב קדם-אימות .

מיקרו-תיקון 0patch למערכות ישנות

עבור ארגונים המפעילים גרסאות Windows Server שיצאו ממחזור התמיכה הרשמי (EOS) ואינם זכאים עוד לעדכוני אבטחה ממיקרוסופט, חברת Acros Security שחררה מיקרו-תיקון (micropatch) דרך פלטפורמת 0patch ללא עלות .

מיקרו-תיקון זה מספק פתרון כירורגי מינימלי: הוא מפחית בחצי את גודל המחרוזת המקסימלית של שם המשתמש בשלב העיבוד הרלוונטי. זוהי הפעולה היחידה שמספיקה כדי לנטרל את גלישת המחסנית, וזאת מבלי לשנות נתיבי קוד שאינם קשורים לבעיה .

פלטפורמת 0patch אישרה זמינות של מיקרו-תיקונים עבור:

• Windows Server 2012 (ללא רישיון ESU‏ –‏ Extended Security Updates)
• Windows Server 2012 R2 (ללא רישיון ESU)

המיקרו-תיקון נפרס דרך סוכן 0patch (Agent) ומוחל בזיכרון (in-memory), ללא צורך באתחול השרת. יתרון זה משמעותי במיוחד בסביבות שבהן יש לתזמן בזהירות את הפעלתם מחדש של בקרי הדומיין. פלטפורמת 0patch מוכרת במתן מענה מסוג זה עבור חולשות קריטיות במערכות הפעלה ישנות .

קווים מנחים לצמצום סיכונים ותגובה לאירוע

התקנת התיקון מסירה את נתיב הקוד הפגיע, אך אינה מזהה או מסירה תוקף שכבר ניצל את CVE-2026-41089 לפני שהתיקון הותקן. ה-CCB מזהיר במפורש: תיקון מגן מפני ניצול עתידי, אך אינו מתקן פריצה היסטורית.

צעדים מעשיים על פי ה-CCB

1. תקנו מיידית, בעדיפות עליונה — החילו את עדכוני מאי 2026 של מיקרוסופט על כל בקרי הדומיין. אל תמתינו לחלון התחזוקה הבא: מדובר בתרחיש של מתקפה אקטיבית .
2. הגבירו ניטור ואיתור — הרחיבו את היקף הניטור אחר פעילות חשודה המתמקדת בבקרי דומיין, במיוחד תעבורת Netlogon חריגה או דפוסי RPC ו-LDAP לא אופייניים .
3. הניחו פגיעה אפשרית — כל בקר דומיין שהיה חשוף לרשת ולא תוקן בין ה-12 במאי לבין מועד התקנת התיקון, חייב לעבור בדיקה פורנזית לאיתור סימני פריצה .
4. צמצמו את חלון התיקון — עדכנו את כל בקרי הדומיין במינימום סבבי תחזוקה אפשריים. יער Active Directory שמתוקן רק חלקית, נותר יער שניתן לפריצה .
5. וודאו תיקון מלא — הריצו מחדש סריקות אימות תיקונים והערכות חשיפה, כדי להבטיח שלא נותרו שרתי DC פגיעים .

צעדי מנע והגנה נוספים ממומחים

• סגמנטציה של בקרי דומיין — הגבילו את גישת הרשת לשרתי DC, כך שרק תעבורת ניהול ותשתית מורשית במפורש תגיע אליהם. חסמו פורטים רגישים (TCP 445, UDP 389) מפני סגמנטים לא אמינים ומפני גישה ישירה מהאינטרנט, הן בגבול הרשת הארגונית והן בחומות אש פנימיות.
• הגבלות תעבורה בשכבת הרשת — מעבר לחומות האש על השרתים עצמם (host-based), אכפו בקרות גישה בשכבת הרשת (Network ACLs) שיגבילו אילו מערכות רשאיות בכלל ליזום חיבור אל שרתי ה-DC דרך הפרוטוקולים הפגיעים.
• הקשיחו נתיבי גישה מועדפים — בדקו וצמצמו חשבונות בעלי הרשאות גישה מורשות לבקרי הדומיין. פגיעה בהקשר SYSTEM של DC מובילה לעיתים קרובות לגניבת זהויות ולגלישה לרוחב הרשת (Lateral Movement) .
• חפשו סימנים לפעילות שלאחר ניצול — עקבו אחר התנהגות חריגה של שירותים, אתחולים לא צפויים של שרתי DC, קריסות של תהליך LSASS, יצירת חשבונות אדמין חדשים ובקשות לא שגרתיות לשירות Kerberos (כרטיסי Kerberos). אלו עלולים להעיד על ניצול או שלבים מתקדמים של המתקפה .
• אמצו תפיסת "הניחו שנפרצתם" — עד שתושלם בדיקה פורנזית מקיפה, התייחסו לכל בקרי הדומיין שלא היו מתוקנים קודם לכן, כאל כאלה שנפגעו.

הערה חשובה: מדד EPSS לעומת תמונת המצב בשטח

מדד EPSS (מערכת חיזוי לניצול פרצות) הראה עבור CVE-2026-41089 הסתברות ניצול של 0.09% . עם זאת, EPSS הוא מודל הסתברותי המאומן על נתוני עבר, והוא אינו מביא בחשבון ניצול אקטיבי שכבר אושר במתקפות אמיתיות. מרגע שרשות אבטחה לאומית כמו ה-CCB מוציאה אזהרת מתקפה פעילה, ארגונים חייבים לתעדף פעולות על בסיס איום אמיתי ומוכח, ולא על סמך חיזוי סטטיסטי בלבד.