CVE-2026-41089: критическая zero‑click RCE в Windows Netlogon под активной атакой

Исследователи и платформы анализа угроз характеризуют эту уязвимость как практически червеобразную (wormable) из‑за возможности эксплуатации до аутентификации и центральной роли контроллеров домена в идентификации пользователей Windows-инфраструктуры . Оценка Action1 точно отражает риск: «Уязвимый контроллер домена способен превратить один сформированный сетевой запрос в прямой путь к компрометации предприятия» . Джейсон Кикта, технический директор Automox, предупредил, что «частично пропатченный лес Active Directory — это недопустимое состояние для pre‑auth‑уязвимости на контроллере домена», и посоветовал администраторам дополнительно ограничивать Netlogon‑трафик на сетевом уровне .

В открытом доступе на GitHub появился proof‑of‑concept (PoC), что исторически приводит к массовой эксплуатации в течение 24–72 часов . Организациям следует исходить из того, что инструменты автоматического сканирования и атак уже циркулируют.

Затрагиваемые версии Windows Server

Уязвимость затрагивает все поддерживаемые версии Windows Server, где запущена служба Netlogon и которые не были обновлены после 12 мая 2026 года . Согласно опубликованным данным от вендоров безопасности и NVD, уязвимы следующие редакции :

• Windows Server 2012 и 2012 R2 (все варианты установки, включая Server Core)
• Windows Server 2016
• Windows Server 2019 (включая Server Core)
• Windows Server 2022 (редакции 21H2, 22H2 и 23H2, включая Server Core)
• Windows Server 2025

Проблема кроется в обработчике протокола MS-NRPC и может быть активирована через TCP-порт 445 или UDP-порт 389 (порт CLDAP, используемый для обнаружения контроллеров домена). Это означает, что стандартные пути доступа к контроллерам домена — достаточное условие для атаки .

Доступные исправления

Официальные обновления Microsoft

Microsoft выпустила патчи для CVE‑2026‑41089 12 мая 2026 года . Организациям следует немедленно применить соответствующее обновление для своей сборки Windows Server. База данных уязвимостей Rapid7 приводит следующие идентификаторы KB для поддерживаемых дистрибутивов :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Проводите обновление всех контроллеров домена в рамках одного, максимально сжатого окна обслуживания — уязвимость эксплуатируется до аутентификации, и атаки уже идут .

Микропатч 0patch для устаревших систем

Для организаций, использующих неподдерживаемые версии Windows Server, которые больше не получают официальные обновления безопасности, компания Acros Security выпустила бесплатный микропатч через свою платформу 0patch . Микропатч представляет собой минимальное, хирургически точное исправление: он вдвое уменьшает максимальный размер контролируемой атакующим строки имени пользователя в процессе обработки, эффективно нейтрализуя переполнение стека без изменения несвязанных участков кода .

0patch подтвердила доступность микропатча для:

• Windows Server 2012 (без ESU — Extended Security Updates)
• Windows Server 2012 R2 (без ESU)

Микропатч разворачивается через агент 0patch и применяется в памяти, не требуя перезагрузки системы. Это особенно ценно для сред, где перезагрузка контроллеров домена требует тщательного планирования. 0patch уже давно предоставляет пост‑поддержку в виде микропатчей для критических уязвимостей на Windows Server 2008 R2, 2012 и 2012 R2 .

Срочные меры защиты и реагирования

Установка патча устраняет уязвимый код, но не обнаруживает и не удаляет злоумышленника, который мог проэксплуатировать CVE‑2026‑41089 до обновления. CCB специально предупреждает: патч защищает от будущих атак, но не исправляет последствий уже произошедшего взлома .

Первоочередные действия, рекомендованные CCB

1. Экстренно установить патч с наивысшим приоритетом — Примените официальные обновления Microsoft за май 2026 года на всех контроллерах домена. Не ждите следующего планового окна обслуживания: прямо сейчас идёт активная эксплуатация .
2. Усилить мониторинг и обнаружение — Повысьте уровень мониторинга подозрительной активности, направленной на контроллеры домена, особенно необычного трафика Netlogon, нетипичных запросов RPC и LDAP .
3. Исходить из возможной компрометации — Любой контроллер домена, остававшийся незапатченным и сетевым в период с 12 мая до применения обновления, должен быть проверен на наличие следов вторжения .
4. Сжать окно обновления — Пройдите по всем контроллерам домена за минимальное количество циклов обслуживания. Частично пропатченный лес Active Directory — это по‑прежнему уязвимая среда .
5. Перепроверить после обновления — Повторно запустите сканирование на наличие патчей и оценку поверхности атаки, чтобы убедиться, что не осталось доступных уязвимых контроллеров домена .

Дополнительные защитные меры от экспертов

• Сегментируйте контроллеры домена — Ограничьте сетевой доступ к контроллерам домена так, чтобы до них доходил только явно разрешённый трафик управления и инфраструктуры. Заблокируйте порты, связанные с Netlogon (TCP 445, UDP 389), от ненадёжных и выходящих в интернет сегментов на сетевых границах и внутренних файрволах.
• Ограничьте Netlogon‑трафик на сетевом уровне — Помимо хостовых брандмауэров, внедрите контроль доступа на сетевом уровне, ограничивающий, какие системы вообще могут инициировать подключения к контроллерам домена по уязвимым протоколам.
• Усильте контроль привилегированного доступа — Проведите ревизию и минимизируйте число учётных записей с привилегированным доступом к контроллерам домена. Компрометация контекста SYSTEM на контроллере домена часто напрямую ведёт к краже учётных данных и горизонтальному перемещению .
• Отслеживайте пост‑эксплуатационную активность — Ищите нештатное поведение служб, неожиданные перезагрузки контроллеров домена, падения процесса LSASS, создание новых административных учётных записей и аномальные запросы билетов Kerberos. Это может указывать на эксплуатацию или последующие стадии атаки .
• Работайте в режиме assume‑breach — До завершения тщательного криминалистического анализа рассматривайте все ранее незапатченные контроллеры домена как потенциально скомпрометированные.

Важное замечание: EPSS и реальная угроза

Хотя показатель вероятности эксплуатации по системе EPSS (Exploit Prediction Scoring System) для CVE‑2026‑41089 первоначально составлял 0.09% , EPSS — это вероятностная модель, обученная на исторических данных, которая не учитывает уже подтверждённую активную эксплуатацию в реальных атаках. Когда национальный орган кибербезопасности, такой как CCB, публикует предупреждение об активных атаках, организации должны определять приоритеты, основываясь на подтверждённой реальной угрозе, а не только на статистических прогнозах.