Переполнение буфера в Netlogon: злоумышленники удаленно выполняют код на серверах Windows
NewsMakerОдин сетевой запрос может открыть путь туда, где ошибка стоит дороже обычного сбоя.
Злоумышленники начали активно использовать критическую уязвимость в одном из ключевых компонентов Windows Server спустя всего несколько недель после выхода исправления. Проблема затрагивает службу Netlogon, которая отвечает за проверку подлинности пользователей и сервисов в корпоративных сетях. Учитывая широкое распространение Netlogon, новый вектор атак может представлять серьёзную угрозу для организаций по всему миру.
О начале эксплуатации уязвимости CVE-2026-41089 (9.8 по шкале CVSS v3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) предупредил Центр кибербезопасности Бельгии. Ведомство сообщило, что ошибка уже применяется в реальных атаках и призвало администраторов как можно быстрее установить майские обновления безопасности .
Проблема связана с переполнением буфера в службе Windows Netlogon. По данным Microsoft, ошибка позволяет удалённо выполнить произвольный код на контроллере домена без предварительной аутентификации и каких-либо привилегий.
Для успешной атаки достаточно отправить специально сформированный сетевой запрос на сервер Windows, выполняющий роль контроллера домена . Если обработка запроса проходит некорректно, злоумышленник получает возможность запускать собственный код на атакуемой системе. Уязвимость затрагивает все поддерживаемые версии Windows Server, включая Windows Server 2025.
Бельгийский регулятор не раскрыл подробности текущих атак и не уточнил, какие группы стоят за эксплуатацией уязвимости. Microsoft также пока не обновила консультативное сообщение и не подтвердила публично сведения о массовом использовании бреши.
Злоумышленники начали активно использовать критическую уязвимость в одном из ключевых компонентов Windows Server спустя всего несколько недель после выхода исправления. Проблема затрагивает службу Netlogon, которая отвечает за проверку подлинности пользователей и сервисов в корпоративных сетях. Учитывая широкое распространение Netlogon, новый вектор атак может представлять серьёзную угрозу для организаций по всему миру.
О начале эксплуатации уязвимости CVE-2026-41089 (9.8 по шкале CVSS v3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) предупредил Центр кибербезопасности Бельгии. Ведомство сообщило, что ошибка уже применяется в реальных атаках и призвало администраторов как можно быстрее установить майские обновления безопасности .
Проблема связана с переполнением буфера в службе Windows Netlogon. По данным Microsoft, ошибка позволяет удалённо выполнить произвольный код на контроллере домена без предварительной аутентификации и каких-либо привилегий.
Для успешной атаки достаточно отправить специально сформированный сетевой запрос на сервер Windows, выполняющий роль контроллера домена . Если обработка запроса проходит некорректно, злоумышленник получает возможность запускать собственный код на атакуемой системе. Уязвимость затрагивает все поддерживаемые версии Windows Server, включая Windows Server 2025.
Бельгийский регулятор не раскрыл подробности текущих атак и не уточнил, какие группы стоят за эксплуатацией уязвимости. Microsoft также пока не обновила консультативное сообщение и не подтвердила публично сведения о массовом использовании бреши.