В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая все поддерживаемые версии Windows Server - BDU:2026-06756. Речь идёт о проблеме в службе Netlogon - компоненте, отвечающем за аутентификацию пользователей и машин в доменной сети. Уязвимость также получила идентификатор CVE-2026-41089 и связана с классической ошибкой переполнения буфера в стеке (CWE-121). Что это означает на практике? Злоумышленник может отправить специально сформированный сетевой пакет на уязвимый сервер и выполнить произвольный код без какой-либо предварительной аутентификации.
Детали уязвимости
Степень опасности этой проблемы сложно переоценить. Согласно международному стандарту оценки критичности уязвимостей CVSS, базовый вектор достигает значения 9,8 балла из десяти возможных. Для сравнения: это наивысший возможный уровень для удалённых атак без учётной записи. Атака не требует от нарушителя ни прав, ни доступа к локальной системе. Достаточно лишь сетевой доступности цели. Вектор AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H говорит сам за себя: уязвимость доступна удалённо, сложность эксплуатации низкая, привилегии не нужны, взаимодействие с пользователем отсутствует. Результат - полный компрометация конфиденциальности, целостности и доступности системы.
Под удар попали все актуальные серверные платформы Windows. В списке уязвимого программного обеспечения значатся Windows Server 2012, 2012 R2, 2016, 2019, 2022, а также новейший Windows Server 2025. При этом речь идёт как о полноценных установках, так и о вариантах Server Core - минимальных конфигурациях без графического интерфейса. Точные версии, в которых проблема устранена, указаны для каждой платформы отдельно. Например, для Windows Server 2022 критический порог - версия 10.0.20348.5139, для Windows Server 2019 - 10.0.17763.8755, а для Windows Server 2025 - 10.0.26100.32860. Это означает, что все более ранние сборки остаются уязвимыми.
Сама служба Netlogon - один из ключевых компонентов доменной архитектуры Windows. Она обеспечивает безопасный канал между рабочей станцией и контроллером домена, шифрует аутентификационные данные и синхронизирует учётные записи. В связи с этим эксплуатация уязвимости в Netlogon может привести к катастрофическим последствиям для корпоративной инфраструктуры. Злоумышленник, получивший контроль над сервером, способен перемещаться по сети, устанавливать закрепление в системе (persistence), похищать базы данных учётных записей, а также запускать программы-вымогатели (ransomware). При этом начальная точка входа не требует ни фишинговых писем, ни социальной инженерии - достаточно открытого сетевого порта.
Стоит отметить, что это не первый случай критических уязвимостей в протоколе Netlogon. В 2020 году мир всколыхнула проблема Zerologon (CVE-2020-1472), которая позволяла злоумышленнику полностью захватить контроль над доменом. Та атака эксплуатировала криптографический недостаток в реализации протокола. Нынешняя уязвимость идёт по другому пути - это классическое переполнение буфера, когда программа записывает больше данных, чем может вместить выделенная область памяти. В результате возникает возможность подменить управляющие структуры данных и перехватить поток выполнения кода.
Производитель уже подтвердил статус уязвимости и выпустил соответствующие обновления. Ссылка на рекомендации Microsoft ведёт на страницу обновления безопасности, где администраторы могут найти точные номера исправляющих пакетов. Наличие готового эксплойта пока уточняется, но с учётом высокой критичности и относительной простоты эксплуатации можно с высокой вероятностью предположить, что рабочие прототипы атак появятся в ближайшее время. Тем более что в описании способа эксплуатации указано манипулирование структурами данных - это характерный признак атаки на переполнение буфера с записью за границы.
Какие меры должны предпринять администраторы? В первую очередь - установить обновления на все контроллеры доменов и серверы, где запущена служба Netlogon. Обновление касается даже тех машин, которые не имеют прямого выхода в интернет. Внутренние сети не являются гарантией безопасности. Злоумышленник может проникнуть в периметр через другую уязвимость или скомпрометированную учётную запись, а затем использовать CVE-2026-41089 для повышения привилегий и расширения доступа. Особое внимание стоит уделить версиям Windows Server 2012 и 2012 R2 - они официально вышли из расширенной поддержки, но всё ещё массово эксплуатируются в корпоративных сетях. Для таких систем необходимо как минимум изолировать их от доступа из ненадёжных сегментов сети.
В заключение важно подчеркнуть: данная уязвимость - серьёзный звонок для всех, кто управляет серверной инфраструктурой Windows. Сочетание удалённого вектора, отсутствия необходимости в аутентификации и максимальной оценки по CVSS делает её приоритетной целью для атакующих групп, включая APT и киберпреступные синдикаты. Промедление с установкой патчей может стоить компании не только данных, но и репутации. Как показывает история с Zerologon, уязвимости в Netlogon редко прощают невнимательность.
Ссылки
- https://bdu.fstec.ru/vul/2026-06756
- https://www.cve.org/CVERecord?id=CVE-2026-41089
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089
