CVE-2026-41089: la vulnerabilità critica zero-click su Windows Netlogon è sotto sfruttamento attivo

I ricercatori di sicurezza hanno definito questa vulnerabilità come "wormable" nella pratica, a causa della sua sfruttabilità in pre-autenticazione e del ruolo centrale che i domain controller svolgono nell'identità aziendale . L'analisi di Action1 sintetizza il rischio in modo efficace: "Un domain controller vulnerabile può trasformare una singola richiesta di rete creata ad hoc in un percorso diretto verso la compromissione aziendale" . Jason Kikta, CTO di Automox, ha avvertito che "avere foreste patchate a metà non è uno stato difendibile per un bug pre-autenticazione su un DC" e ha consigliato agli amministratori di sistema di limitare il traffico Netlogon a livello di rete oltre ad applicare la patch .

Su GitHub è apparso del codice exploit pubblico di prova (PoC), un evento che storicamente accelera lo sfruttamento di massa entro 24-72 ore . Le aziende devono presumere che strumenti di scansione e sfruttamento automatizzati siano già in circolazione.

Versioni di Windows Server interessate

La vulnerabilità riguarda tutte le versioni supportate di Windows Server che eseguono il servizio Netlogon e che non sono state aggiornate dopo il 12 maggio 2026 . Gli elenchi pubblicati da vari fornitori di sicurezza e dal NVD identificano le seguenti edizioni vulnerabili :

• Windows Server 2012 e 2012 R2 (tutte le installazioni, incluso Server Core)
• Windows Server 2016
• Windows Server 2019 (incluso Server Core)
• Windows Server 2022 (Edizioni 21H2, 22H2 e 23H2, incluso Server Core)
• Windows Server 2025

Il problema risiede nel gestore MS-NRPC e può essere attivato tramite la porta TCP 445 o la porta UDP 389 (la porta di localizzazione DC CLDAP). Ciò significa che i percorsi di esposizione standard dei DC sono sufficienti per un aggressore per raggiungere il percorso di codice vulnerabile .

Disponibilità delle patch

Aggiornamenti di sicurezza ufficiali Microsoft

Microsoft ha rilasciato le patch per CVE-2026-41089 il 12 maggio 2026 . Le aziende devono applicare immediatamente l'aggiornamento pertinente per la propria build di Windows Server. Il database delle vulnerabilità di Rapid7 elenca i seguenti identificatori KB per le distribuzioni supportate :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Quando possibile, è necessario applicare la patch a tutti i domain controller in un'unica finestra di manutenzione compressa, poiché la vulnerabilità è in pre-autenticazione e attivamente sfruttata. Lasciare anche un solo DC non patchato lascia l'intera "foresta" Active Directory vulnerabile .

Micropatch 0patch per sistemi legacy

Per le aziende che utilizzano installazioni di Windows Server non più supportate e che non possono più ricevere aggiornamenti di sicurezza ufficiali Microsoft, Acros Security ha rilasciato una micropatch gratuita tramite la sua piattaforma 0patch . Questa micropatch offre una soluzione minimale e chirurgica: dimezza la dimensione massima della stringa del nome utente controllata dall'aggressore durante l'elaborazione, neutralizzando efficacemente l'overflow dello stack senza alterare percorsi di codice non correlati .

0patch ha confermato la disponibilità della micropatch per:

• Windows Server 2012 (senza ESU)
• Windows Server 2012 R2 (senza ESU)

La micropatch viene distribuita tramite l'agente 0patch e si applica in memoria, senza richiedere un riavvio del sistema. Questo può essere prezioso in ambienti dove i riavvii dei domain controller devono essere programmati con attenzione. 0patch fornisce da tempo micropatch post-fine-supporto per vulnerabilità critiche su Windows Server 2008 R2, 2012 e 2012 R2 .

Linee guida urgenti per la mitigazione e la risposta

L'applicazione della patch rimuove il percorso di codice vulnerabile, ma non rileva né rimuove un aggressore che potrebbe aver già sfruttato CVE-2026-41089 prima che la patch fosse applicata. Il CCB avverte esplicitamente che l'applicazione della patch protegge da sfruttamenti futuri, ma non rimedia a una compromissione storica .

Azioni primarie raccomandate dal CCB

1. Applicare la patch immediatamente con la massima priorità — Applicare gli aggiornamenti Microsoft ufficiali di maggio 2026 a tutti i domain controller. Non aspettare la prossima finestra di manutenzione: si tratta di uno scenario di sfruttamento attivo .
2. Aumentare il monitoraggio e il rilevamento — Intensificare il monitoraggio per attività sospette che prendono di mira i domain controller, in particolare traffico Netlogon insolito o modelli RPC e LDAP anomali .
3. Presumere una possibile compromissione precedente — Qualsiasi domain controller che non era aggiornato ed esposto alla rete tra il 12 maggio e l'applicazione della patch deve essere sottoposto a una revisione forense per cercare segni di intrusione .
4. Comprimere la finestra di patching — Aggiornare tutti i domain controller nel minor numero possibile di cicli di manutenzione. Una foresta Active Directory patchata a metà è una foresta sfruttabile .
5. Riverificare dopo l'applicazione della patch — Eseguire nuovamente scansioni di verifica delle patch e valutazioni dell'esposizione per confermare che non rimangano DC vulnerabili accessibili .

Ulteriori misure difensive degli esperti

• Segmentare i domain controller — Limitare l'accesso di rete ai domain controller in modo che solo il traffico di gestione e infrastruttura esplicitamente autorizzato possa raggiungerli. Bloccare le porte relative a Netlogon (TCP 445, UDP 389) da segmenti non fidati e rivolti a Internet a livello di firewall di rete e interni.
• Limitare il traffico Netlogon a livello di rete — Oltre ai firewall host, applicare controlli di accesso a livello di rete che limitino quali sistemi possono anche solo avviare connessioni ai DC su questi protocolli vulnerabili.
• Rafforzare i percorsi di accesso privilegiato — Rivedere e ridurre al minimo gli account con accesso privilegiato ai domain controller. La compromissione del contesto SYSTEM di un DC porta spesso direttamente al furto di credenziali e al movimento laterale .
• Monitorare l'attività post-sfruttamento — Cercare comportamenti anomali del servizio, riavvii imprevisti del DC, crash di LSASS, creazione di nuovi account amministratore e richieste anomale di ticket Kerberos. Questi possono indicare uno sfruttamento o fasi di attacco successive .
• Adottare una postura completa di "presunta compromissione" — Fino al completamento di una revisione forense approfondita, trattare tutti i domain controller precedentemente non patchati come potenzialmente compromessi.

Nota importante: EPSS e percezione

Sebbene la probabilità EPSS (Exploit Prediction Scoring System) per CVE-2026-41089 sia stata segnalata allo 0,09% , l'EPSS è un modello probabilistico addestrato su dati storici e non tiene conto dello sfruttamento attivo già confermato in attacchi reali. Nel momento in cui un'autorità nazionale per la cybersicurezza come il CCB emette un avviso di sfruttamento attivo, le aziende devono dare priorità all'azione in base all'attività di minaccia reale confermata, piuttosto che alla sola previsione statistica.