リモートコード実行を可能にするWindows Netlogonの深刻な脆弱性CVE-2026-41089が、実際の環境で積極的に悪用されていると、ベルギーサイバーセキュリティセンター(CCB)が金曜日に警告しました。
CVE-2026-41089 の概要
CVE-2026-41089は、Windows Netlogonに存在するスタックベースのバッファオーバーフロー脆弱性です。Windows Netlogonは、Windowsドメイン環境内の認証とセキュリティを担うサービスおよびプロトコルです。
攻撃者は、ドメインコントローラーとして動作しているWindowsサーバーに特別に細工したネットワークリクエストを送信することでこの脆弱性を悪用でき、ネットワーク越しにコードを実行できる可能性があります。
Microsoftはこの脆弱性を2026年5月12日に公開し、発見・報告をWindows Attack Research & Protection(WARP)チームの功績として認めています。
当初、Microsoftはこの脆弱性の悪用可能性を「低い」と判断していましたが、AIを活用した攻撃者によって、CVEの公開から脅威アクターによる最初の悪用確認までの期間は縮まりつつあります。
同様に、セキュリティ研究者やAI企業もパッチをリバースエンジニアリングし、根本原因の分析や概念実証(PoC)エクスプロイトを公開して共有しています。
残念ながら、CCBは現在進行中の攻撃の詳細をまだ公開していません。
編集部はCCBに対して実環境での悪用についての問い合わせを行っており、回答が得られ次第この記事を更新します。
推奨される対応策
Microsoftは先週の月例パッチ(Patch Tuesday)のリリースで、複数のWindows Serverバージョンを対象にCVE-2026-41089のセキュリティパッチを提供しました。
当時、AutomoxのCTOであるJason Kikta氏は、すべてのドメインコントローラーに対して同じメンテナンス期間内にパッチを適用するよう管理者に勧めるとともに、「認証前に悪用可能な[ドメインコントローラー]の脆弱性において、パッチ適用が中途半端なフォレストは防御可能な状態とは言えない」と指摘しました。
また同氏は、セキュリティチームに対してネットワーク層でNetlogonトラフィックを制限し、ドメインコントローラーの露出状況を見直すよう助言しています。
「すでに侵害されているネットワーク境界の内側では、CVE-2026-41089はフォレスト全体の乗っ取りへの近道になる」と同氏は述べており、積極的な悪用を示す可能性のあるイベントとして以下を挙げています。
- Netlogonサービスの予期しないクラッシュまたは再起動
- DC以外のソースアドレスからの異常なNetlogonトラフィックパターン
- ドメインコントローラーへの不審なネットワークアクティビティの直後に発生する認証失敗やドメイン信頼エラー
Acros Securityは、レガシーバージョンのWindows Server(Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2)向けにCVE-2026-41089のマイクロパッチを公開しました。
翻訳元: https://www.helpnetsecurity.com/2026/06/01/windows-netlogon-rce-exploited-cve-2026-41089/
