Krytyczna luka CVE-2026-41089 w Windows Netlogon: Aktywne ataki na kontrolery domeny – czy Twoja firma jest zagrożona?

Analitycy bezpieczeństwa zgodnie twierdzą, że lukę tę można uznać za „robaczywą” (ang. wormable). Wynika to z możliwości wykorzystania jej przed autoryzacją oraz kluczowej roli kontrolerów domen w środowisku Microsoft. Firma Action1 trafnie podsumowuje ryzyko: „Podatny kontroler domeny może zmienić jedno spreparowane żądanie sieciowe w otwartą ścieżkę do przejęcia całej firmy” . Jason Kikta, CTO Automox, jeszcze dobitniej przestrzega: „częściowo załatane środowisko leśne Active Directory to stan niemożliwy do obrony przy tego typu błędzie. Oprócz łatania, administratorzy powinni ograniczyć ruch Netlogon na poziomie sieci” .

W serwisie GitHub pojawił się publiczny kod proof-of-concept (PoC), co historycznie przyspiesza masową eksploatację w ciągu 24–72 godzin . Należy zakładać, że narzędzia do automatycznego skanowania i ataków są już w obiegu.

Które wersje Windows Server są zagrożone?

Luka dotyczy wszystkich wspieranych wersji Windows Server z uruchomioną usługą Netlogon, które nie zostały załatane po 12 maja 2026 roku . Z opublikowanych baz danych wynika, że problem dotyczy następujących edycji :

• Windows Server 2012 i 2012 R2 (wszystkie instalacje, w tym Server Core)
• Windows Server 2016
• Windows Server 2019 (w tym Server Core)
• Windows Server 2022 (edycje 21H2, 22H2 i 23H2, w tym Server Core)
• Windows Server 2025

Błąd tkwi w obsłudze protokołu MS-NRPC i może zostać wykorzystany przez port TCP 445 lub UDP 389 (używany do lokalizacji kontrolerów domen CLDAP). Oznacza to, że standardowe ścieżki dostępu do kontrolera domeny są wystarczające, by dotrzeć do podatnego na atak kodu .

Dostępność poprawek

Oficjalne aktualizacje Microsoft

Microsoft opublikował łaty na lukę CVE-2026-41089 12 maja 2026 roku . Organizacje powinny natychmiast zastosować odpowiednią poprawkę dla posiadanej wersji Windows Server. Baza luk Rapid7 identyfikuje następujące identyfikatory KB :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Ze względu na aktywną eksploatację i krytyczność błędu, wszystkie kontrolery domeny powinny być łatane w jak najkrótszym, skompresowanym oknie serwisowym .

Ratunek od 0patch dla starszych serwerów

Dla firm, które wciąż korzystają z wygaszonych wersji Windows Server bez dostępu do oficjalnych poprawek Microsoft, firma Acros Security udostępniła na swojej platformie 0patch darmową mikrołatkę . Oferuje ona minimalistyczną, chirurgiczną poprawkę: zmniejsza o połowę maksymalny rozmiar kontrolowanego przez atakującego ciągu nazwy użytkownika podczas przetwarzania, skutecznie uniemożliwiając przepełnienie stosu bez ingerencji w inne części kodu .

0patch potwierdził dostępność mikrołatki dla systemów:

• Windows Server 2012 (bez ESU)
• Windows Server 2012 R2 (bez ESU)

Mikrołatka jest wdrażana w pamięci za pomocą agenta 0patch i nie wymaga restartu systemu, co jest bardzo przydatne w środowiskach, gdzie każdy restart serwera musi być skrupulatnie planowany. 0patch od dawna oferuje tego typu poprawki dla luk krytycznych na starszych systemach, zapewniając im dodatkową ochronę po zakończeniu oficjalnego wsparcia .

Zalecenia dotyczące natychmiastowej reakcji i mitygacji

Samo łatkowanie usuwa lukę, ale nie wykryje ani nie usunie atakującego, który mógł już włamać się do systemu przed jego aktualizacją. CCB wyraźnie ostrzega, że łatka chroni przed przyszłymi atakami, ale nie cofa skutków kompromitacji, do której mogło dojść w przeszłości .

Główne działania zalecane przez CCB

1. Natychmiastowe łatkowanie z najwyższym priorytetem — Zastosuj oficjalne aktualizacje Microsoft z maja 2026 na wszystkich kontrolerach domeny. To nie jest moment na czekanie ze względu na trwające aktywne ataki .
2. Zwiększenie monitoringu i detekcji — Ulepsz monitorowanie podejrzanych aktywności skierowanych na kontrolery domen, zwłaszcza nietypowego ruchu Netlogon, RPC i LDAP .
3. Przyjęcie założenia o potencjalnej kompromitacji — Każdy kontroler domeny, który był niezałatany i podłączony do sieci od 12 maja do momentu aplikacji łaty, powinien zostać poddany analizie śledczej pod kątem śladów włamania .
4. Skompresowanie okna serwisowego — Przeprowadź łatkowanie wszystkich kontrolerów domen w jak najmniejszej liczbie cykli serwisowych. Częściowo załatane środowisko leśne Active Directory wciąż pozostaje podatne na atak .
5. Ponowna weryfikacja po łataniu — Po aplikacji poprawek uruchom ponownie skanowanie weryfikujące oraz oceń, czy nie pozostały jakieś podatne kontrolery .

Dodatkowe środki obrony

• Segmentacja kontrolerów domen — Ogranicz dostęp sieciowy do kontrolerów, tak aby tylko autoryzowany ruch zarządzający i infrastrukturalny mógł do nich docierać. Blokuj porty związane z Netlogon (TCP 445, UDP 389) z niezaufanych segmentów na zaporze sieciowej i firewallach wewnętrznych.
• Ograniczenie ruchu Netlogon na poziomie sieci — Wprowadź sieciowe listy kontroli dostępu, które ograniczają listę maszyn mogących inicjować połączenia do kontrolerów przez podatne protokoły.
• Wzmocnienie ścieżek uprzywilejowanego dostępu — Przejrzyj i ogranicz liczbę kont z uprzywilejowanym dostępem do kontrolerów domen. Przejęcie kontekstu SYSTEM na DC często prowadzi od razu do kradzieży poświadczeń i ruchów lateralnych .
• Monitorowanie aktywności po exploicie — Szukaj anomalnego działania usług, nieoczekiwanych restartów DC, awarii procesu LSASS, tworzenia nowych kont administratora i nietypowych żądań biletów Kerberos. Może to świadczyć o trwającym ataku .
• Pełna gotowość na włamanie (ang. assume-breach) — Do czasu zakończenia dokładnego przeglądu śledczego, traktuj wszystkie niezałatane dotychczas kontrolery domen jako potencjalnie skompromitowane.

Ważna uwaga: EPSS a rzeczywistość

Model EPSS wskazywał prawdopodobieństwo exploita na poziomie 0,09% , jest to jednak tylko statystyczna prognoza, a nie odzwierciedlenie faktycznej, potwierdzonej sytuacji w terenie. Kiedy narodowa agencja ds. cyberbezpieczeństwa, taka jak CCB, wydaje ostrzeżenie o aktywnym wykorzystaniu luki, priorytetem dla firm musi być reagowanie na potwierdzone, realne zagrożenie, a nie matematyczny model.