Центр кібербезпеки Бельгії оновив попередження щодо травневого Patch Tuesday Microsoft і повідомив, що CVE-2026-41089, критичну RCE-вразливість у Windows Netlogon, вже експлуатують у реальних атаках. Це не типова домашня проблема Windows, але для організацій із контролерами домену вона потребує термінового патча та перевірки журналів.
Microsoft випустила виправлення CVE-2026-41089 у травневих оновленнях безпеки 2026 року. NVD описує помилку як stack-based buffer overflow у Windows Netlogon, що може дозволити неавторизованому атакувальнику виконати код через мережу. Оновлення CCB від 29 травня додає головний сигнал ризику: експлуатація вже не теоретична, а успішна атака на контролер домену може дати виконання коду з правами SYSTEM.
Кого це стосується
Під ризиком Windows Server, які працюють як контролери домену. CCB пише, що патчі доступні для версій Windows Server від 2012 року; дані NVD охоплюють Windows Server 2012, 2012 R2, 2016, 2019, 2022, 2022 23H2 і 2025 до виправлених білдів.
Для звичайного домашнього користувача це не основний сценарій, бо вдома майже ніхто не запускає контролер домену. Ризик стосується бізнесів, шкіл, MSP-клієнтів і будь-якого середовища, де Active Directory відповідає за вхід, файлові ресурси, політики або доступ до застосунків. Якщо скомпрометована робоча станція, VPN-сегмент, гостьова VLAN або відкритий сервіс може дістатися служб контролера домену, наслідки стають значно серйознішими.
Чому Netlogon-уразливість небезпечна
Netlogon є частиною механіки автентифікації у Windows-домені. Тому CVE-2026-41089 краще порівнювати не зі звичайною помилкою на кінцевій станції, а з класом атак, які можуть відкрити шлях до контролю доменної інфраструктури.
| Пункт | Що перевірити |
|---|---|
| CVE | CVE-2026-41089, Windows Netlogon Remote Code Execution |
| Критичність | Critical, CVSS 9.8 у даних NVD |
| Форма атаки | Спеціально сформований мережевий запит до Windows Server, що працює як контролер домену |
| Потрібні права | За оцінками CCB і NVD, попередні права та взаємодія користувача не потрібні |
| Головна дія | Встановити травневе оновлення Microsoft 2026 року або новіший кумулятивний патч на всі контролери домену |
Технічний аналіз 0patch описує pre-authentication Netlogon-помилку, яку за певних умов можна спричинити некоректним CLDAP/DC-locator запитом, що веде до пошкодження пам’яті LSASS і перезавантаження. Це не означає, що кожен збій LSASS є підтвердженою атакою, і не замінює офіційний патч Microsoft. Але це пояснює, чому сегментація мережі та перевірка журналів контролерів домену мають значення під час розгортання оновлень.
Що зробити адміністраторам
- Знайдіть усі контролери домену. Врахуйте резервні DC, сервери у філіях, тестові домени, що торкаються продакшену, і знімки, які можуть бути відновлені пізніше.
- Переконайтеся, що встановлено травневе оновлення Windows Server 2026 року або новіший cumulative update. Не покладайтеся лише на статус у patch-management панелі, якщо сервери перезавантажувалися з помилками або завислими оновленнями.
- Обмежте доступ до служб контролера домену. Контролери домену не мають бути доступні з гостьового Wi-Fi, недовірених VPN-пулів, відкритих керуючих мереж або звичайних користувацьких VLAN без чіткої потреби.
- Перевірте нестабільність LSASS і Netlogon. Шукайте неочікувані перезавантаження DC, падіння LSASS, помилки Netlogon, підозрілий LDAP/CLDAP трафік і аномалії автентифікації після 29 травня.
- Перевірте можливий post-exploitation. Патч блокує майбутню експлуатацію, але не прибирає створені акаунти, викрадені облікові дані, змінені політики або persistence, якщо компрометація вже була.
- Окремо перевірте робочі станції адміністраторів. Якщо під час розслідування з’явилися підозрілі завантаження, скрипти або remote-admin інструменти на Windows-машинах адміністраторів, використайте надійне security-рішення для second-opinion перевірки. Gridinsoft Anti-Malware доречний для перевірки таких кінцевих станцій, тоді як контролери домену слід обробляти через серверний процес безпеки організації.
Схожі практичні висновки є і в інших інфраструктурних історіях, наприклад у матеріалі про SonicWall CVE-2024-12802: коли вразливість відкриває шлях до ключової точки доступу, важлива не лише установка патча, а й перевірка того, що могло статися до неї.
Оновлення за червень 2026 року: дослідження Onelogon Netlogon є окремою перевіркою exposure через allow-list. Якщо після Zerologon у домені залишилися vulnerable Netlogon secure-channel винятки, перевірте їх разом із звичайним patch verification.
FAQ
CVE-2026-41089 – це той самий Zerologon?
Ні. Обидві теми пов’язані з Windows Netlogon і ризиком для контролерів домену, але CVE-2026-41089 є окремою вразливістю 2026 року зі своїм CVE та патчем Microsoft.
Чи потрібно щось робити звичайним користувачам Windows 10 або Windows 11?
Домашнім користувачам варто тримати Windows оновленою, але конкретно ця вразливість стосується Windows Server, що працює як контролер домену.
Чи достатньо просто встановити патч?
Патч є першим пріоритетом. Після нього адміністраторам варто переглянути стабільність контролерів домену, журнали автентифікації, зміни акаунтів і незвичну адміністративну активність, бо оновлення не прибирає вже здійснену компрометацію.
Джерела
- Centre for Cybersecurity Belgium. “Warning: Microsoft Patch Tuesday May 2026 patches 118 vulnerabilities…” CCB, опубліковано 13 травня 2026, оновлено 29 травня 2026, доступ 1 червня 2026. https://ccb.belgium.be/advisories/warning-microsoft-patch-tuesday-may-2026-patches-118-vulnerabilities-16-critical-102
- NVD. “CVE-2026-41089 Detail.” National Vulnerability Database, опубліковано 12 травня 2026, оновлено 15 травня 2026, доступ 1 червня 2026. https://nvd.nist.gov/vuln/detail/CVE-2026-41089
- Microsoft Security Response Center. “CVE-2026-41089 Windows Netlogon Remote Code Execution Vulnerability.” Microsoft Security Update Guide, доступ 1 червня 2026. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089
- Mitja Kolsek. “Micropatches released for Windows Netlogon Remote Code Execution Vulnerability (CVE-2026-41089).” 0patch Blog, 26 травня 2026, доступ 1 червня 2026. https://blog.0patch.com/2026/
