TokyoBlackHatNews

cyberpress.org 4分で読了

Windows NetlogonのゼロクリックRCE脆弱性、実環境での悪用を確認

Windows Netlogonに存在するゼロクリック型のリモートコード実行(RCE)の重大な脆弱性「CVE-2026-41089」が、実環境で活発に悪用されていることが確認されました。ドメインコントローラーとして稼働している未パッチのWindows Server環境にとって、リスクは一段と高まっています。

この脆弱性を悪用すると、認証を持たない遠隔の攻撃者が特別に細工したNetlogonネットワークリクエストを送信するだけで、SYSTEMレベルの権限で任意のコードを実行できます。組織のIDインフラ全体を掌握されてしまう危険があります。

CVE-2026-41089は、ドメインコントローラーとして構成されたWindowsサーバーに影響します。NetlogonサービスはActive Directoryの認証やセキュアチャネル操作において中心的な役割を担っているためです。

Netlogonが特別に細工されたネットワークトラフィックを処理する際の欠陥を悪用することで、攻撃者はサービスへのネットワーク到達性さえあれば、事前認証・ローカルアクセス・ユーザー操作のいずれも不要のまま、不正な処理を引き起こしてSYSTEM権限で任意のコードを実行できてしまいます。

このゼロクリック・認証前(pre-auth)という特性により、一度最初の足がかりを得た攻撃者による自動化された悪用、迅速な横展開、そしてネットワーク分離が不十分な環境でのワーム的な伝播など、高度な攻撃に利用されやすい脆弱性となっています。

本脆弱性は、2026年5月のMicrosoftのPatch Tuesdayで開示・修正されました。CVE-2026-41089は、遠隔からの悪用が可能であること、ユーザー操作が不要であること、そして悪用に成功した場合にドメイン全体の乗っ取りにつながりうることから、「緊急(Critical)」と評価されています。

ベルギーサイバーセキュリティセンター(CCB)は、5月のパッチバンドルで対処された118件の脆弱性の中でも本件を特に注目すべきものとして取り上げており、そのうち16件がCritical分類でした。現在、CCBはCVE-2026-41089が実環境で活発に悪用されていることを正式に確認しています。

ドメインコントローラーはWindowsを中心としたネットワーク全体のID管理・アクセス制御・認証を支える基盤であるため、Netlogon経由でドメインコントローラーが侵害された場合、その影響は組織全体に連鎖的かつ深刻な形で広がります。

ドメインコントローラー上でSYSTEM権限を掌握した攻撃者は、グループポリシーを通じたマルウェアやランサムウェアの展開、ユーザーアカウントや管理者アカウントの作成・改ざん、セキュリティ制御の無効化・回避、そしてActive Directoryに連携する重要なアプリケーションサーバー・データベース・クラウドリソースへの横断的な侵入といった攻撃を行うことができます。

実際のところ、ドメインコントローラーの侵害はWindowsドメイン全体の侵害に等しく、業務や事業に対して重大な混乱をもたらします。

Microsoftは、Windows Server 2012以降のすべてのサポート対象バージョン向けにセキュリティアップデートをリリースしており、幅広いエンタープライズ環境やハイブリッド環境のドメインコントローラーをカバーしています。

CCBのアドバイザリーでは、CVE-2026-41089へのパッチ適用を最優先の緊急対応として位置付け、信頼できないネットワークや分離されたネットワークに面しているドメインコントローラーから優先的にパッチを適用し、露出期間を最小化するよう求めています。

ただし、すでに悪用が発生している現状を踏まえると、パッチ適用だけでは十分ではありません。異常な認証動作、ドメインコントローラーの不審なトラフィック、特権グループへの突然の変更、Netlogonイベント後の新規管理者アカウント作成など、Netlogon関連の不審な活動に対する監視・検知体制を強化することが組織に強く求められます。

特に攻撃者がすでに持続的な足がかりを確立している場合、こうした兆候をいち早く検知することが、本脆弱性を悪用した侵害の封じ込めに不可欠です。

セキュリティチームはまた、ドメインコントローラー周辺のネットワーク分離とアクセス制御を見直し、厳密に必要なシステムおよびサービスのみが関連ポート経由でNetlogonと通信できるよう設定するとともに、ドメインコントローラーがインターネットに直接さらされていないことを確認すべきです。

迅速なパッチ適用と集中的な監視、そしてこれらの対策を組み合わせることが、進行中の悪用キャンペーンによるCVE-2026-41089の脅威を軽減するうえで不可欠です。

翻訳元: https://cyberpress.org/windows-netlogon-0-click-rce-flaw/

ソース: cyberpress.org
#Active Directory #CVE-2026-41089 #Microsoft #Patch Tuesday #Windows Netlogon #Windows Server #ゼロクリックRCE #ドメインコントローラー #リモートコード実行 #脆弱性悪用

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に