CVE-2026-41089: Kerentanan Zero-Klik Windows Netlogon Kini Dieksploitasi, Pengawal Domain Dalam Bahaya

Penyelidik keselamatan dan platform perisikan ancaman mencirikan kerentanan ini sebagai "seperti cecacing" (wormable) secara praktikalnya kerana keboleheksploitannya sebelum pengesahan dan peranan penting yang dimainkan oleh pengawal domain dalam identiti perusahaan Windows . Penilaian Action1 menangkap risiko ini dengan ringkas: "Satu pengawal domain yang terdedah boleh menukar satu permintaan rangkaian yang direka menjadi laluan terus ke arah kompromi perusahaan." Jason Kikta, CTO di Automox, memberi amaran bahawa "hutan (forest) yang separuh ditampal bukanlah keadaan pertahanan yang memadai untuk pepijat DC pra-pengesahan" dan menasihatkan pentadbir untuk menyekat trafik Netlogon di lapisan rangkaian sebagai tambahan kepada menampal .

Kod eksploitasi bukti-konsep (PoC) awam telah muncul di GitHub, yang secara sejarahnya mempercepatkan eksploitasi besar-besaran dalam masa 24-72 jam . Organisasi harus menganggap bahawa pengimbasan automatik dan peralatan eksploitasi sudah pun tersebar.

Versi Windows Server yang Terjejas

Kerentanan ini memberi kesan kepada semua edaran Windows Server yang disokong yang menjalankan perkhidmatan Netlogon yang tidak ditampal selepas 12 Mei 2026 . Senarai produk yang diterbitkan dari pelbagai vendor keselamatan dan NVD mengenal pasti edisi terdedah berikut :

• Windows Server 2012 dan 2012 R2 (semua pemasangan, termasuk Server Core)
• Windows Server 2016
• Windows Server 2019 (termasuk Server Core)
• Windows Server 2022 (Edisi 21H2, 22H2, dan 23H2, termasuk Server Core)
• Windows Server 2025

Isu ini wujud dalam pengendali MS-NRPC dan boleh dicetuskan melalui port TCP 445 atau port UDP 389 (port pencari CLDAP DC), bermakna laluan pendedahan DC standard sudah mencukupi untuk penyerang mencapai laluan kod yang terdedah .

Ketersediaan Tampalan

Kemas Kini Keselamatan Rasmi Microsoft

Microsoft mengeluarkan tampalan untuk CVE-2026-41089 pada 12 Mei 2026 . Organisasi harus segera menggunakan kemas kini yang relevan untuk binaan Windows Server masing-masing. Pangkalan data kerentanan Rapid7 menyenaraikan pengecam KB berikut untuk edaran yang disokong :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Tampal semua pengawal domain dalam satu tetingkap penyelenggaraan yang padat jika operasi mengizinkan kerana kerentanan ini bersifat pra-pengesahan dan sedang dieksploitasi secara aktif .

Tampalan-Mikro 0patch untuk Sistem Legasi

Bagi organisasi yang menjalankan pemasangan Windows Server yang tidak lagi disokong dan tidak lagi boleh menerima kemas kini keselamatan rasmi Microsoft, Acros Security telah mengeluarkan tampalan-mikro percuma melalui platform 0patch mereka . Tampalan-mikro ini menawarkan pembetulan minimal dan tepat: ia mengurangkan separuh saiz maksimum rentetan nama pengguna yang dikawal oleh penyerang semasa pemprosesan yang relevan, dengan berkesan meneutralkan limpahan tindanan tanpa mengubah laluan kod yang tidak berkaitan .

0patch telah mengesahkan ketersediaan tampalan-mikro untuk:

• Windows Server 2012 (tanpa ESU)
• Windows Server 2012 R2 (tanpa ESU)

Tampalan-mikro ini dilaksanakan melalui ejen 0patch dan digunakan dalam memori, tanpa memerlukan but semula sistem, yang amat berharga untuk persekitaran di mana but semula pengawal domain mesti dijadualkan dengan teliti. 0patch telah lama menyediakan tampalan-mikro pasca-tamat-sokongan untuk kerentanan kritikal pada Windows Server 2008 R2, 2012, dan 2012 R2 .

Garis Panduan Mitigasi dan Respons Segera

Menampal menghapuskan laluan kod yang terdedah, tetapi ia tidak mengesan atau membuang penyerang yang mungkin telah mengeksploitasi CVE-2026-41089 sebelum tampalan digunakan. CCB secara jelas memberi amaran bahawa menampal melindungi daripada eksploitasi masa depan tetapi tidak memulihkan kompromi yang telah berlaku .

Tindakan Utama daripada CCB

1. Tampal segera dengan keutamaan tertinggi — Gunakan kemas kini Mei 2026 rasmi Microsoft kepada semua pengawal domain. Jangan tunggu tetingkap penyelenggaraan seterusnya: ini adalah senario eksploitasi aktif .
2. Tingkatkan pemantauan dan pengesanan — Tingkatkan pemantauan untuk aktiviti mencurigakan yang mensasarkan pengawal domain, terutamanya trafik Netlogon yang luar biasa atau corak RPC dan LDAP yang tidak tipikal .
3. Anggap kompromi sebelumnya mungkin berlaku — Mana-mana pengawal domain yang tidak ditampal dan terdedah kepada rangkaian antara 12 Mei dan waktu penggunaan tampalan harus disemak secara forensik untuk tanda-tanda pencerobohan .
4. Padatkan tetingkap penampalan — Laksanakan tampalan pada semua pengawal domain dalam kitaran penyelenggaraan sesedikit mungkin. Hutan Active Directory yang separuh ditampal adalah hutan yang boleh dieksploitasi .
5. Sahkan semula selepas menampal — Jalankan imbasan pengesahan tampalan dan penilaian pendedahan sekali lagi untuk mengesahkan tiada DC terdedah yang masih boleh diakses .

Langkah Pertahanan Tambahan Pakar

• Segmentasi pengawal domain — Sekat akses rangkaian kepada pengawal domain supaya hanya trafik pengurusan dan infrastruktur yang dibenarkan secara jelas sahaja sampai kepadanya. Sekat port berkaitan Netlogon (TCP 445, UDP 389) daripada segmen yang tidak dipercayai dan yang menghadap internet di sempadan rangkaian dan tembok api dalaman.
• Sekat trafik Netlogon di lapisan rangkaian — Melangkaui tembok api hos, kuatkuasakan kawalan akses peringkat rangkaian yang mengehadkan sistem mana yang boleh memulakan sambungan ke DC melalui protokol yang terdedah.
• Kukuhkan laluan akses istimewa — Semak semula dan kurangkan akaun dengan akses istimewa kepada pengawal domain. Kompromi terhadap konteks SISTEM DC sering membawa terus kepada kecurian bukti kelayakan dan pergerakan sisi .
• Pantau aktiviti pasca-eksploitasi — Cari kelakuan perkhidmatan yang tidak normal, but semula DC yang tidak dijangka, kerosakan LSASS, penciptaan akaun pentadbir baharu, dan permintaan tiket Kerberos yang anomalus. Ini mungkin menandakan eksploitasi atau tahap serangan susulan .
• Guna pakai postur anggap sudah kena ceroboh sepenuhnya — Sehingga semakan forensik yang teliti selesai, anggap semua pengawal domain yang sebelum ini tidak ditampal sebagai berkemungkinan telah dikompromi.

Kaveat Penting: EPSS dan Persepsi

Walaupun kebarangkalian EPSS (Exploit Prediction Scoring System) untuk CVE-2026-41089 dilaporkan pada 0.09% , EPSS adalah model probabilistik yang dilatih berdasarkan data lepas dan tidak mengambil kira eksploitasi aktif yang telah disahkan dalam serangan dunia sebenar. Apabila pihak berkuasa keselamatan siber kebangsaan seperti CCB mengeluarkan amaran eksploitasi aktif, organisasi mesti memberi keutamaan berdasarkan aktiviti ancaman dunia sebenar yang disahkan, bukan semata-mata ramalan statistik.