Критическая уязвимость в Windows Server позволяет получить системные права одним пакетом — контроллеры доменов уже атакуют

Великая эксплуатация 2026 года продолжается: уязвимости безопасности публикуются с пугающей скоростью, и зачастую их начинают использовать в реальных атаках почти до того, как кто-либо успевает среагировать. Сегодня в центре внимания оказалась Microsoft с критической удаленной уязвимостью (рейтинг 9.8), затрагивающей контроллеры доменов (DC) Windows Server версий с 2012 по текущую. Суть эксплуатации проста: любой неаутентифицированный пользователь в той же сети может отправить на контроллер домена специально сформированный UDP-пакет и потенциально получить системный доступ — без каких-либо предварительных прав. Даже если атакующий не пойдет так далеко, он может легко принудительно перезагрузить контроллер домена, создав сценарий отказа в обслуживании.

Уязвимость имеет идентификатор CVE-2026-41089, и, к счастью, на этот раз это не zero-day. Уязвимым сервисом является Netlogon, и, по-видимому, не существует обходных путей защиты — единственным решением является установка исправлений на затронутые системы. Само обновление вышло во «Вторник исправлений» 12 мая, но есть большая вероятность, что многие контроллеры доменов остаются незапатченными, особенно старых версий. Системные администраторы также могут найти ссылки на конкретные патчи и скрипты для устранения.

Если злоумышленнику удастся использовать эту уязвимость для получения системного уровня доступа к контроллерам домена, последствия могут быть самыми разными. Злоумышленник может создать любое количество учетных записей с различными уровнями доступа, включая билеты предоставления билетов Kerberos, что позволит получить доступ к большинству данных во всем домене. Поскольку контроллеры доменов часто работают в составе более крупной сети в средних и крупных предприятиях, всего одной уязвимой машины достаточно, чтобы сделать всю сеть небезопасной. Специалисты по кибербезопасности рекомендуют администраторам относиться к этой угрозе как к червеобразной и устанавливать исправления на все связанные контроллеры доменов одновременно, чтобы не играть в игру «убей крота» с высокими шансами на проигрыш.

Microsoft заявила, что на момент обнаружения уязвимость не была раскрыта публично и не использовалась в ongoing атаках, но ситуация изменилась с момента обнаружения, поскольку недавние отчеты подтвердили, что она теперь эксплуатируется в реальных атаках. Что касается proof-of-concept, то на GitHub есть репозиторий с примером кода, который вызывает сбой службы LSASS примерно через минуту.

Технические детали просты и несколько обескураживают. Сформированный сетевой пакет, который вызывает уязвимость, не содержит ничего особо сложного; он просто содержит одно поле, которое больше, чем должно быть. Логика сериализации данных в службе Netlogon объединяет данные, предоставленные злоумышленником, с именем хоста сервера, что приводит к классическому переполнению буфера — самому простому типу уязвимости.

Microsoft в последнее время часто фигурирует в новостях о безопасности, в основном из-за продолжающегося конфликта с исследователем безопасности Хаотик Эклипс (также известным как Найтмэр Эклипс), который опубликовал кучу эксплойтов zero-day после того, как переговоры с компанией, по-видимому, сорвались. Ситуация неясна, но обострилась до такой степени, что Microsoft теперь угрожает Эклипсу судебным иском.

Источник: Tomshardware.com