Критическая уязвимость в службе Netlogon, которую Microsoft устранила ещё в майском наборе исправлений, теперь используется в реальных атаках. Брешь под идентификатором CVE-2026-41089 позволяет неаутентифицированному злоумышленнику удалённо выполнить произвольный код на контроллере домена с правами уровня SYSTEM – то есть получить фактически полный контроль над инфраструктурой Active Directory.
Netlogon – это RPC-интерфейс и одна из ключевых фоновых служб Windows Server, которая аутентифицирует пользователей и службы в доменных сетях Windows. Microsoft описывает CVE-2026-41089 как переполнение буфера стека (CWE-121) в этой службе; по шкале CVSS уязвимость оценена в 9,8 балла из 10.
Для атаки достаточно отправить специально сформированный сетевой запрос на сервер Windows, выполняющий роль контроллера домена: служба некорректно обрабатывает его, что и позволяет запустить код. Эксплуатация не требует ни аутентификации, ни предварительного доступа, ни каких-либо действий со стороны пользователя.
Кого затрагивает
Затронуты все поддерживаемые версии Windows Server, включая последнюю – Windows Server 2025, а исправления выпущены для выпусков начиная с Windows Server 2012.
Поскольку контроллер домена – центральный узел сети, его компрометация открывает путь к учётным записям, средствам контроля доступа и аутентификации по всей инфраструктуре. Получив управление таким сервером, злоумышленник может развернуть вредоносное ПО, создать новые административные учётные записи и горизонтально перемещаться по сети, последовательно захватывая остальные системы.
Как раскрывали уязвимость
Брешь была закрыта 12 мая 2026 года в рамках планового набора обновлений «Вторник Патчей», май 2026, устранившего 120 уязвимостей; активно эксплуатируемых проблем в нём на момент выхода не было. Уязвимость обнаружила внутренняя команда Microsoft Windows Attack Research & Protection (WARP), а в первоначальном бюллетене значилось, что она не раскрыта публично и не эксплуатируется.
Ситуация изменилась в пятницу, 29 мая: Центр кибербезопасности Бельгии (CCB) публично предупредил об использовании CVE-2026-41089 в атаках, привёл оценку CVSS 9,8 и призвал администраторов немедленно обновить уязвимые серверы. При этом CCB не раскрыл подробностей о самих атаках и не ответил на запрос журналистов, а Microsoft на момент публикации не вносила в бюллетень отметку об активной эксплуатации и не подтвердила её.
Что делать
Основная мера защиты – установить майские накопительные обновления на всех контроллерах домена. Дополнительно стоит усилить мониторинг подозрительной активности Netlogon (аномальные запросы аутентификации, нетипичный трафик к контроллерам домена), отслеживать признаки повышения привилегий и появление новых административных учётных записей, а также пересмотреть сегментацию сети так, чтобы со службой Netlogon могли взаимодействовать только действительно необходимые системы.
Другие уязвимости Windows
Атаки на Netlogon разворачиваются на фоне целой серии недавно раскрытых уязвимостей нулевого дня в Windows. Двумя неделями ранее Microsoft опубликовала меры по снижению рисков для YellowKey (CVE-2026-45585) – уязвимости нулевого дня в BitLocker, открывающей доступ к защищённым дискам. Её раскрыл и сопроводил готовым кодом для эксплуатации (PoC) анонимный исследователь под псевдонимом «Nightmare Eclipse» (Chaotic Eclipse), охарактеризовавший брешь как backdoor.
За последние месяцы тот же исследователь раскрыл уязвимости повышения привилегий BlueHammer (CVE-2026-33825) и RedSun (CVE-2026-41091), которые уже эксплуатируются в атаках, бреши GreenPlasma и MiniPlasma, дающие права уровня SYSTEM, а также UnDefend (CVE-2026-45498) – уязвимость, позволяющую атакующему с обычными правами блокировать обновление определений Microsoft Defender. Изначально Microsoft отреагировала на эти действия завуалированными угрозами судебного преследования, а затем заявила, что будет взаимодействовать с правоохранительными органами, если кто-либо нарушает закон и причиняет реальный вред клиентам компании.