ベルギーの国家サイバーセキュリティ機関であるセンター・フォー・サイバーセキュリティ・ベルギー(CCB)は金曜日、脅威アクターが最近パッチの適用された重大なWindows Netlogon脆弱性を攻撃に悪用していると警告しました。
「攻撃者は、ドメインコントローラーとして機能しているWindowsサーバーに対し、特別に細工したネットワークリクエストを送信できます」と同機関は述べています。「攻撃が成功した場合、Netlogonサービスがリクエストを不適切に処理し、攻撃者がサインインや事前のアクセス権なしに、影響を受けるシステム上で任意のコードを実行できる可能性があります。」
CVE-2026-41089は、最新リリースのWindows Server 2025を含む、現在サポートされているすべてのWindows Serverバージョンに影響します。
5月12日に同社が公開したセキュリティアドバイザリによると、この脆弱性はMicrosoft社内の攻撃的サイバーセキュリティ・エンジニアリング研究チームであるWindows Attack Research & Protection(WARP)によって発見されました。
金曜日、ベルギーの国家サイバーセキュリティ機関(CCB)は、攻撃者がCVE-2026-41089の脆弱性を実際の攻撃に積極的に悪用しているとして警告し、管理者に対して脆弱なサーバーへの即時パッチ適用を強く促しました。
「#Windows #Netlogonの CVE-2026-41089は現在、実際に積極的に #悪用されており、#RCEにつながる可能性があります。CVSS(3.1): 9.8」とCCBは金曜日のツイートで警告しました。「できる限り速やかにパッチを適用してください。」
ただし、CCBは進行中の攻撃に関する詳細を公表しておらず、BleepingComputerからの追加情報提供依頼にも応じていません。
Microsoftはアドバイザリをいまだ更新しておらず、同社のスポークスパーソンも、CVE-2026-41089が現在積極的に悪用されているかどうかの確認を求めたBleepingComputerのメールに返答していません。
2週間前、Microsoftは YellowKey(CVE-2026-45585)の緩和措置を公開しました。YellowKeyは保護されたドライブへのアクセスを可能にするWindows BitLockerのゼロデイ脆弱性で、匿名のセキュリティ研究者「Nightmare Eclipse」によってバックドアと説明され、開示と同時に概念実証(PoC)エクスプロイトも公開されています。
過去数カ月にわたり、Nightmare Eclipseは権限昇格のゼロデイ脆弱性であるBlueHammer(CVE-2026-33825)およびRedSun(CVE-2026-41091)(いずれも現在実際の攻撃に悪用されている)、SYSTEM権限を付与するゼロデイ権限昇格脆弱性のGreenPlasmaおよびMiniPlasma、そして標準ユーザー権限を持つ攻撃者がMicrosoft Defenderの定義更新をブロックするために悪用できるゼロデイ脆弱性UnDefend(CVE-2026-45498)も相次いで開示しています。
当初、MicrosoftはNightmare Eclipseに対して法的措置をほのめかす脅しで対応しました。その後、「個人が法律を破り、顧客に実害をもたらす悪意ある活動を行った場合」には「必要に応じて法執行機関と協力する」とツイートしています。
検証のギャップ:自動ペンテストが答える質問は1つ。本当に必要なのは6つ。
自動ペンテストツールは確かな価値を提供しますが、その設計上の目的は「攻撃者はネットワーク内を横断移動できるか?」という一つの問いに答えることです。コントロールが脅威をブロックするか、検出ルールが正しく機能するか、クラウド設定が適切に保たれているかをテストするために作られたものではありません。
本ガイドでは、実際に検証する必要がある6つの領域を取り上げます。
