CVE-2026-41089: Sıfır Tıklamalı Windows Netlogon Açığı İçin Alarm Zilleri Çalıyor

GitHub'da herkese açık kavram kanıtlama (PoC) istismar kodu ortaya çıktı; bu, tarihsel olarak 24-72 saat içinde toplu istismara yol açan bir durumdur . Kuruluşlar, otomatik tarama ve istismar araçlarının halihazırda dolaşımda olduğunu varsaymalıdır.

Etkilenen Windows Server Sürümleri

Bu güvenlik açığı, 12 Mayıs 2026'dan sonra yama yapılmamış, Netlogon servisini çalıştıran tüm desteklenen Windows Server sürümlerini etkiler . Birden fazla güvenlik satıcısı ve NVD tarafından yayınlanan ürün listeleri, aşağıdaki savunmasız sürümleri tanımlamaktadır :

• Windows Server 2012 ve 2012 R2 (Server Core dahil tüm kurulumlar)
• Windows Server 2016
• Windows Server 2019 (Server Core dahil)
• Windows Server 2022 (21H2, 22H2 ve 23H2 Sürümleri, Server Core dahil)
• Windows Server 2025

Sorun, MS-NRPC işleyicisinde bulunur ve TCP bağlantı noktası 445 veya UDP bağlantı noktası 389 (CLDAP DC-konumlandırıcı bağlantı noktası) üzerinden tetiklenebilir. Bu, standart DC erişim yollarının bir saldırganın savunmasız kod yoluna ulaşması için yeterli olduğu anlamına gelir .

Yama Erişilebilirliği

Resmi Microsoft Güvenlik Güncelleştirmeleri

Microsoft, 12 Mayıs 2026'da CVE-2026-41089 için yamalar yayınladı . Kuruluşlar, Windows Server yapıları için ilgili güncelleştirmeyi derhal uygulamalıdır. Rapid7'nin güvenlik açığı veritabanı, desteklenen dağıtımlar için aşağıdaki KB tanımlayıcılarını listeler :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Açık, kimlik doğrulama öncesi ve aktif olarak kullanıldığından, operasyonel olarak mümkünse tüm etki alanı denetleyicilerini tek bir sıkıştırılmış bakım penceresinde yamalayın .

Eski Sistemler için 0patch Mikro Yaması

Artık resmi Microsoft güvenlik güncelleştirmelerini alamayan, destek süresi dolmuş Windows Server kurulumlarını çalıştıran kuruluşlar için Acros Security, 0patch platformu aracılığıyla ücretsiz bir mikro yama yayınladı . Bu mikro yama minimal ve cerrahi bir düzeltme sunar: ilgili işlem sırasında saldırgan tarafından kontrol edilen kullanıcı adı dizesinin maksimum boyutunu yarıya indirerek, ilgisiz kod yollarını değiştirmeden yığın taşmasını etkili bir şekilde etkisiz hale getirir .

0patch, aşağıdakiler için mikro yama kullanılabilirliğini onayladı:

• Windows Server 2012 (ESU'suz)
• Windows Server 2012 R2 (ESU'suz)

Mikro yama, 0patch aracısı aracılığıyla dağıtılır ve sistemin yeniden başlatılmasını gerektirmeden bellekte uygulanır; bu, etki alanı denetleyicisi yeniden başlatmalarının dikkatle planlanması gereken ortamlar için değerli olabilir. 0patch, uzun süredir Windows Server 2008 R2, 2012 ve 2012 R2'deki kritik güvenlik açıkları için destek sonrası mikro yamalar sağlamaktadır .

Acil Durum Azaltma ve Müdahale Yönergeleri

Yama uygulamak savunmasız kod yolunu ortadan kaldırır, ancak yama uygulanmadan önce CVE-2026-41089'u kullanmış olabilecek bir saldırganı tespit etmez veya kaldırmaz. CCB, yamanın gelecekteki istismarlara karşı koruduğunu ancak geçmişteki bir ele geçirmeyi düzeltmediğini açıkça belirtmektedir .

CCB'den Birincil Eylemler

1. En yüksek öncelikle derhal yamalayın — Tüm etki alanı denetleyicilerine resmi Microsoft Mayıs 2026 güncelleştirmelerini uygulayın. Bir sonraki bakım penceresini beklemeyin: bu aktif bir istismar senaryosudur .
2. İzleme ve tespiti artırın — Etki alanı denetleyicilerini hedef alan şüpheli etkinlikler, özellikle olağandışı Netlogon trafiği veya atipik RPC ve LDAP desenleri için izlemeyi yoğunlaştırın .
3. Olası önceki ele geçirmeyi varsayın — 12 Mayıs ile yamanın uygulanması arasında yamasız ve ağa açık olan herhangi bir etki alanı denetleyicisi, saldırı belirtileri için adli olarak incelenmelidir .
4. Yama penceresini sıkıştırın — Tüm etki alanı denetleyicilerini mümkün olduğunca az bakım döngüsünde yamalayın. Yarı yamalı bir Active Directory ormanı, istismar edilebilir bir ormandır .
5. Yamaladıktan sonra yeniden doğrulayın — Hiçbir savunmasız DC'nin erişilebilir kalmadığından emin olmak için yama doğrulama taramalarını ve erişim değerlendirmelerini yeniden çalıştırın .

Ek Uzman Savunma Önlemleri

• Etki alanı denetleyicilerini bölümlere ayırın — Etki alanı denetleyicilerine ağ erişimini, yalnızca açıkça yetkilendirilmiş yönetim ve altyapı trafiğinin ulaşabileceği şekilde kısıtlayın. Netlogon ile ilgili bağlantı noktalarını (TCP 445, UDP 389) güvenilmeyen ve internete bakan bölümlerden ağ sınırında ve dahili güvenlik duvarlarında engelleyin.
• Netlogon trafiğini ağ katmanında kısıtlayın — Sunucu güvenlik duvarlarının ötesinde, hangi sistemlerin savunmasız protokoller üzerinden DC'lere bağlantı başlatabileceğini sınırlayan ağ düzeyinde erişim kontrolleri uygulayın.
• Ayrıcalıklı erişim yollarını güçlendirin — Etki alanı denetleyicilerine ayrıcalıklı erişimi olan hesapları gözden geçirin ve en aza indirin. Bir DC'nin SİSTEM bağlamının ele geçirilmesi genellikle doğrudan kimlik bilgisi hırsızlığına ve yatay harekete yol açar .
• İstismar sonrası etkinlikleri izleyin — Anormal servis davranışları, beklenmeyen DC yeniden başlatmaları, LSASS çökmeleri, yeni yönetici hesabı oluşturma ve anormal Kerberos bileti isteklerini arayın. Bunlar, istismarı veya sonraki saldırı aşamalarını gösterebilir .
• Tam bir ağ ele geçirildi varsayımı benimseyin — Kapsamlı bir adli inceleme tamamlanana kadar, önceden yamasız olan tüm etki alanı denetleyicilerini potansiyel olarak ele geçirilmiş olarak kabul edin.

Önemli Uyarı: EPSS ve Algı

CVE-2026-41089 için EPSS (İstismar Tahmin Puanlama Sistemi) olasılığı %0,09 olarak bildirilirken , EPSS geçmiş veriler üzerine eğitilmiş olasılıksal bir modeldir ve gerçek dünya saldırılarında zaten doğrulanmış olan aktif istismarı hesaba katmaz. CCB gibi ulusal bir siber güvenlik otoritesi aktif istismar uyarısı yayınladığında, kuruluşlar yalnızca istatistiksel tahmine değil, doğrulanmış gerçek dünya tehdit faaliyetine göre önceliklendirme yapmalıdır.