Специалистами по информационной безопасности выявлен опасный дефект в реализации протокола Netlogon Remote Protocol (NRPC) - стандартного механизма удалённой аутентификации в экосистеме Windows. Уязвимость, получившая в Банке данных угроз безопасности информации (BDU) идентификатор BDU:2026-08686, затрагивает сразу две целевые версии серверной операционной системы: Windows Server 2019 и Windows Server 2025. Уровень опасности по шкале CVSS 3.1 составил максимальные 10 баллов, что автоматически переводит инцидент в категорию самых серьёзных событий последних лет.
Детали уязвимости
Ошибка классифицируется как CWE-329, то есть разработчики не использовали произвольный вектор инициализации с режимом сцепления шифрованных блоков. Если говорить без излишней сложности, речь идёт об уязвимости архитектуры. При шифровании данных в режиме AES‑CFB8 (один из вариантов блочного шифрования с обратной связью) применяется фиксированный нулевой вектор инициализации. Это грубейшее нарушение криптографических принципов. Следовательно, злоумышленник, действующий удалённо, может выполнить подмену сессионных данных. Эксплуатация уязвимости позволяет полностью обойти процедуру аутентификации. Другими словами, атакующий способен притвориться любым доверенным устройством или пользователем, включая сам контроллер домена.
Последствия такой атаки сложно переоценить. Нарушитель получает несанкционированный доступ к защищаемой информации, причём с наивысшими привилегиями. Это не просто кража базы данных - это потенциальный захват управления всей корпоративной сетью. Метод эксплуатации, как уточняется, заключается в нарушении аутентификации, и, что самое тревожное, в открытом доступе уже существует готовый эксплойт. Исследователи из группы softsec Рурского университета в Бохуме (Германия) не только опубликовали научный доклад (ссылку можно найти на портале softsec.rub.de), но и выложили на GitHub прототип инструмента для атаки, названный OneLogon. Это означает, что потенциальный взлом больше не требует от нарушителя высокой квалификации - инструмент доступен любому.
Тем не менее, важно подчеркнуть: официальный патч от компании Microsoft пока отсутствует. В описании уязвимости указано, что данные по способу устранения уточняются. Такая ситуация ставит администраторов безопасности перед непростым выбором: немедленно внедрять компенсирующие меры или ждать обновления от вендора, рискуя быть атакованными. Специалисты рекомендуют не ждать, а действовать прямо сейчас.
Какие шаги могут снизить риск? Прежде всего, необходимо провести аудит групповых политик и реестра контроллеров домена. Следует проверить наличие ключа "VulnerableChannelAllowList". Все записи для учётных записей контроллеров домена из этого списка нужно немедленно удалить. Кроме того, крайне важно минимизировать этот список для остальных систем, чтобы полностью исключить их из эксплуатации до выхода заплаток. Ещё один действенный метод - изоляция устаревших систем, которые не поддерживают защищённое соединение (Secure RPC), в отдельную ветку Active Directory. Также настоятельно рекомендуется ограничить права доступа на запись и изменение самого ключа реестра и связанных с ним групповых политик.
Между тем, нельзя полагаться только на ручные правки. Настройка централизованного мониторинга событий Windows Event Log с идентификаторами 5805, 5827, 5828, 5830 и 5831 позволит своевременно обнаружить попытки эксплуатации. В дополнение к этому, стоит включить отладочное логирование службы Netlogon на всех контроллерах домена. Системы обнаружения и предотвращения вторжений (IDS/IPS) также являются необходимой линией обороны - они помогут зафиксировать аномальную сетевую активность, характерную для данной атаки.
В свете этих событий компаниям, использующим Windows Server 2019 или 2025, следует пересмотреть свои планы по обновлению инфраструктуры. Наличие эксплойта в открытом доступе делает промедление опасным. Пока производитель не выпустит официальное исправление, единственной гарантией безопасности является строгое выполнение всех перечисленных компенсирующих мер. Ситуация напоминает печально известную уязвимость Zerologon 2020 года, которая также базировалась на ошибке в протоколе Netlogon и привела к массовым взломам.
Ссылки
- https://bdu.fstec.ru/vul/2026-08686
- https://bsky.app/profile/did:plc:uwak6qcdgfgvffqzvt7c7hhq/post/3moxylvaqoo27
- https://softsec.rub.de/files/pdf/woot2026-onelogon.pdf
- https://github.com/rub-softsec/onelogon
- https://casa.rub.de/en/news/casa/news/new-netlogon-vulnerability-discovered-companies-should-take-action
- https://softsec.rub.de/publications/woot2026-onelogon/
- https://blog.gridinsoft.com/onelogon-netlogon-attack-ad-allow-list/
