Стефанія А. Автор Стефанія А.
Новини 23 Червня 2026 5 хв читання

Onelogon Netlogon Attack: перевірте AD allow-list

Onelogon показує, як старі винятки Netlogon allow-list можуть відкрити шлях до захоплення AD-акаунтів. Ось що перевірити зараз.

Onelogon Netlogon allow-list risk in an Active Directory environment

Дослідники Ruhr University Bochum і CASA опублікували Onelogon — техніку обходу автентифікації Netlogon, яка найбільше стосується середовищ Active Directory зі старими винятками для вразливого secure channel. Практичне питання не в тому, чи вразливий кожен комп’ютер Windows. Питання в тому, чи домен досі дозволяє legacy-поведінку Netlogon через allow-list, який мав бути тимчасовим після Zerologon [1].

У paper зазначено, що атака може захопити вразливий AD-акаунт приблизно за 30 хвилин, а акаунт Domain Controller перетворює це на ризик повного компромісу домену [2]. Тому Onelogon — це насамперед тема аудиту політик та incident response: перевірити allow-list, прибрати застарілі винятки, стежити за подіями Netlogon і перевірити endpoints, якщо середовище вже могло бути використане зловмисником.

Хто в зоні ризику?

Onelogon важливий для адміністраторів Active Directory, MSP-команд та фахівців з реагування на інциденти. Домашні ПК Windows зазвичай не є ціллю. Домен стає цікавим для такого сценарію, коли Domain Controllers досі дозволяють певним пристроям або trust accounts використовувати вразливі Netlogon secure-channel з’єднання.

Це також не те саме, що наша попередня новина про Netlogon CVE-2026-41089 RCE. Обидві теми пов’язані з Netlogon, але завдання читача інше. CVE-2026-41089 — це перевірка патча й експлуатації. Onelogon — це перевірка allow-list, secure RPC і legacy-пристроїв.

Як працює ланцюжок ризику Onelogon

Небезпечний параметр з’явився тому, що після Zerologon Microsoft довелося залишити сумісність для legacy-систем, які не могли використовувати secure RPC. Такі винятки можуть залишити акаунт у слабшому режимі Netlogon. Onelogon показує, чому цей шлях сумісності не можна вважати безпечним технічним боргом.

Diagram showing how a legacy Netlogon allow-list can lead to Active Directory domain risk
Схема ризику Onelogon: legacy allow-list може перетворити виняток Netlogon на шлях до захоплення акаунта.

Публічне дослідження не означає, що кожен домен відкритий просто зараз. Але воно означає, що список винятків Netlogon не можна залишати без власника. Якщо legacy-пристрій досі потребує винятку, його слід ізолювати та контролювати як високоризиковий елемент.

Що перевірити спочатку

ПеревіркаЧому це важливо
Group Policy: Domain controller: Allow vulnerable Netlogon secure channel connectionsЦе параметр сумісності, який може дозволяти слабшу поведінку Netlogon для окремих акаунтів.
VulnerableChannelAllowList на кожному Domain ControllerДослідники радять аудит цього ключа й обмеження прав запису, щоб зловмисник не міг додати потрібний акаунт.
Machine та trust accounts у виняткахMachine account у такому списку — практична точка ризику Onelogon. Акаунт Domain Controller — найгірший сценарій.
Події Netlogon 5805, 5827, 5828, 5830 та 5831Вони допомагають відрізнити заблоковані вразливі спроби від дозволеної активності vulnerable-channel.
Netlogon debug logs у підозрілі періодиВони дають додатковий контекст, якщо event logs показують повторні помилки або дозволені secure-channel спроби.

Що робити зараз

  1. Зберіть інвентар усіх vulnerable-channel винятків Netlogon у GPO та registry state на Domain Controllers.
  2. Приберіть застарілі записи. Якщо legacy-пристрій досі потребує винятку, зафіксуйте власника й дату міграції.
  3. Ізолюйте legacy-системи, що залишилися. RUB/CASA рекомендує окремий Active Directory forest для клієнтів, які не підтримують secure RPC [2].
  4. Обмежте права запису до allow-list, щоб компрометований адміністративний шлях не міг непомітно додати цільовий акаунт.
  5. Моніторте події Netlogon і розслідуйте повторні невдалі спроби, особливо якщо за ними йдуть дозволені vulnerable-channel події.
  6. Якщо є підозра щодо Domain Controller, привілейованого сервера або management host, скиньте секрети відповідних machine accounts і перевірте ознаки lateral movement.

Якщо ризик Onelogon виявили під час інциденту, не зупиняйтеся лише на політиці. Зловмисники, які зловживають AD-автентифікацією, часто залишають інструменти на Windows endpoints: remote-access utilities, loaders, stealers, scheduled tasks або startup persistence. Gridinsoft Anti-Malware допоможе швидше перевірити підозрілі Windows-хости на шкідливі файли та persistence після containment. Він не виправляє політику Netlogon, але спрощує endpoint cleanup.

[gs_cta variant=”suspicious_process” campaign=”onelogon_netlogon_ad_ua” title=”Перевірте Windows endpoints після AD-інциденту” button=”Сканувати залишки malware”]

Чому одного патча недостатньо

Ще в рекомендаціях часів Zerologon Microsoft просила адміністраторів знаходити та виправляти пристрої, що використовують вразливі secure-channel з’єднання Netlogon [3]. Onelogon додає до цього причину повернутися до аудиту у 2026 році: виняток, залишений для сумісності, може стати умовою для атаки.

З публічними інструментами варто бути обережними. RUB опублікувала дослідницький репозиторій, а в NetExec з’явився Onelogon-related scanner workflow [4] [5]. Використовуйте такі інструменти лише в мережах, де маєте дозвіл на тестування, і віддавайте перевагу audit/detection режиму.

FAQ

Onelogon — це те саме, що Zerologon?

Ні. Onelogon — нове дослідження, яке спирається на слабкі місця Netlogon і показує ризик після Zerologon-міграції. Практична небезпека залежить від vulnerable-channel allow-list.

Чи має Onelogon CVE?

На момент публікації публічні матеріали описують research disclosure та tooling release, а не Microsoft CVE advisory. Ставтеся до цього як до аудиту конфігурації та exposure, доки Microsoft або інший офіційний орган не опублікує інші вказівки.

Чи потрібно щось робити домашнім користувачам?

Зазвичай ні. Onelogon стосується доменів Active Directory. Домашнім користувачам варто реагувати лише тоді, коли роботодавець або MSP повідомляє, що інцидент у домені міг зачепити їхній пристрій або облікові дані.

Яка найшвидша корисна перевірка?

Знайдіть акаунти у vulnerable Netlogon allow-list і перегляньте Netlogon event IDs 5805, 5827, 5828, 5830 та 5831. Будь-який Domain Controller account у такому сценарії потребує термінової перевірки.

References

  1. CASA, Ruhr University Bochum. “New Netlogon vulnerability discovered: companies should take action.” CASA News, 23 червня 2026, accessed June 23, 2026. Notice.
  2. Alex Neff, Julian Horst, and Jörg Schwenk. “Onelogon: Taking over Active Directory Accounts via Netlogon.” Ruhr University Bochum, WOOT 2026 paper, accessed June 23, 2026. Paper.
  3. Microsoft Support. “How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472.” Microsoft, accessed June 23, 2026. Guidance.
  4. RUB SoftSec. “onelogon.” GitHub repository, accessed June 23, 2026. Repository.
  5. Pennyw0rth/NetExec. “Add onelogon module.” GitHub pull request, accessed June 23, 2026. Pull request.
Стефанія А.
Автор Стефанія А.
Усі матеріали

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.