Експлойт нульового кліку Windows Netlogon CVE-2026-41089 активно атакує контролери домену: посібник до дій

Дослідники з кібербезпеки та платформи аналізу загроз характеризують цю вразливість як практично «червоподібну» через можливість експлуатації до автентифікації та центральну роль контролерів домену в корпоративній ідентифікації Windows . Експерти з Action1 влучно описують ризик: «Вразливий контролер домену може перетворити один спеціально сформований мережевий запит на прямий шлях до компрометації всього підприємства» . Джейсон Кікта, технічний директор Automox, застерігає, що «наполовину пропатчені ліси Active Directory — це неприйнятний стан захисту для помилки на DC до автентифікації» і радить адміністраторам обмежувати трафік Netlogon на мережевому рівні на додачу до встановлення патчів .

Публічний код експлойта з'явився на GitHub, що історично пришвидшує масову експлуатацію протягом 24–72 годин . Організаціям варто виходити з того, що автоматизоване сканування та інструменти для атак уже циркулюють.

Які версії Windows Server під загрозою

Вразливість стосується всіх підтримуваних випусків Windows Server, де запущена служба Netlogon, якщо вони не були оновлені після 12 травня 2026 року . Опубліковані списки продуктів від численних вендорів безпеки та NVD називають такі вразливі редакції :

• Windows Server 2012 та 2012 R2 (усі встановлення, включно з Server Core)
• Windows Server 2016
• Windows Server 2019 (включно з Server Core)
• Windows Server 2022 (редакції 21H2, 22H2 та 23H2, включно з Server Core)
• Windows Server 2025

Проблема присутня в обробнику MS-NRPC і може бути активована через TCP-порт 445 або UDP-порт 389 (порт локатора CLDAP для DC). Тобто стандартних шляхів доступу до контролерів домену цілком достатньо, щоб зловмисник дістався вразливого фрагменту коду .

Як отримати оновлення

Офіційні оновлення безпеки Microsoft

Microsoft випустила патчі для CVE-2026-41089 12 травня 2026 року . Організації мають негайно застосувати відповідне оновлення для своєї збірки Windows Server. База даних вразливостей Rapid7 наводить такі ідентифікатори KB для підтримуваних дистрибутивів :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Усі контролери домену потрібно оновлювати в межах єдиного, стиснутого вікна обслуговування, якщо це операційно можливо, адже вразливість спрацьовує до автентифікації і вже активно експлуатується .

Мікропатч 0patch для застарілих систем

Для організацій, які використовують непідтримувані версії Windows Server і більше не можуть отримувати офіційні оновлення безпеки від Microsoft, компанія Acros Security випустила безкоштовний мікропатч через свою платформу 0patch . Цей мікропатч пропонує мінімальне, хірургічно точне виправлення: він зменшує вдвічі максимальний розмір контрольованого зловмисником рядка імені користувача під час обробки, що ефективно нейтралізує переповнення стеку, не змінюючи непов'язані ділянки коду .

0patch підтвердила доступність мікропатчу для:

• Windows Server 2012 (без ESU)
• Windows Server 2012 R2 (без ESU)

Мікропатч розгортається через агент 0patch і застосовується в пам'яті, не вимагаючи перезавантаження системи, що особливо цінно для середовищ, де перезапуск контролерів домену потрібно ретельно планувати. 0patch уже давно надає мікропатчі для критичних вразливостей на Windows Server 2008 R2, 2012 та 2012 R2 після завершення їх підтримки .

Невідкладні заходи: як реагувати сьогодні

Встановлення патчу прибирає вразливий код, але не виявляє і не видаляє зловмисника, який міг уже використати CVE-2026-41089 до оновлення. CCB прямо попереджає, що патчінг захищає від майбутньої експлуатації, але не виправляє наслідків попередньої компрометації .

Першочергові дії, рекомендовані CCB

1. Негайне оновлення з найвищим пріоритетом — застосуйте офіційні оновлення Microsoft за травень 2026 до всіх контролерів домену. Не чекайте наступного вікна обслуговування: це сценарій активної експлуатації .
2. Посилений моніторинг та детектування — масштабуйте відстеження підозрілої активності на контролерах домену, особливо незвичного трафіку Netlogon або нетипових патернів RPC та LDAP .
3. Припущення про можливу попередню компрометацію — будь-який контролер домену, який був неоновленим і доступним у мережі між 12 травня і моментом встановлення патчу, потребує судово-технічної перевірки на ознаки вторгнення .
4. Максимально стиснути вікно оновлень — пройдіться по всіх контролерах домену в якомога меншій кількості циклів обслуговування. Наполовину пропатчений ліс Active Directory — це вразливий ліс .
5. Повторна верифікація після оновлення — повторно запустіть сканування патчів та перевірку доступності сервісів, щоб переконатися, що жоден вразливий DC не лишився доступним .

Додаткові оборонні заходи від експертів

• Сегментуйте контролери домену — обмежте мережевий доступ до контролерів домену так, щоб до них доходив лише явно авторизований трафік управління та інфраструктури. Заблокуйте порти, пов'язані з Netlogon (TCP 445, UDP 389), від ненадійних та звернених до Інтернету сегментів на мережевому кордоні та внутрішніх файрволах.
• Обмежте трафік Netlogon на мережевому рівні — окрім хостових файрволів, впровадьте контроль доступу на мережевому рівні, який обмежує, які системи взагалі можуть ініціювати з'єднання до DC через вразливі протоколи.
• Посильте захист привілейованих шляхів доступу — перегляньте та мінімізуйте облікові записи з привілейованим доступом до контролерів домену. Компрометація контексту SYSTEM на DC часто веде до викрадення облікових даних і горизонтального переміщення в мережі .
• Моніторте активність після експлуатації — шукайте аномальну поведінку служб, несподівані перезавантаження DC, падіння LSASS, створення нових адміністративних облікових записів та аномальні запити Kerberos-квитків. Це може свідчити про експлуатацію або подальші стадії атаки .
• Прийміть режим повного припущення про злам — поки не завершено ретельну судово-технічну перевірку, ставтеся до всіх раніше неоновлених контролерів домену як до потенційно скомпрометованих.

Важливе застереження: EPSS і сприйняття ризику

Ймовірність за системою EPSS (Exploit Prediction Scoring System) для CVE-2026-41089 була заявлена на рівні 0,09% . Однак EPSS — це ймовірнісна модель, навчена на історичних даних, і вона не враховує активну експлуатацію, яку вже підтверджено в реальних атаках. Щойно національний орган з кібербезпеки, як-от CCB, випускає попередження про активну експлуатацію, організації повинні пріоритезувати дії на основі підтвердженої реальної загрози, а не лише статистичного прогнозу.