ベルギーサイバーセキュリティセンター(CCB)は、脅威アクターがWindowsNetlogonの重大な脆弱性をリモートコード実行に悪用していると警告しています。
CVE-2026-41089(CVSSスコア9.8)として追跡されているこのセキュリティ上の欠陥は、5月12日に公表されました。Microsoftは同日、Patch Tuesdayセキュリティアップデートの一環として、他の136件の脆弱性とともに修正パッチを提供しています。
Microsoftのアドバイザリによると、この欠陥はスタックベースのバッファオーバーフローに該当し、細工されたネットワークリクエストを通じて悪用される可能性があります。
同アドバイザリによれば、認証されていない攻撃者がドメインコントローラーとして機能するWindowsサーバーを標的にすることで、この脆弱性を悪用できます。
「成功した場合、Netlogonサービスがリクエストを不正に処理し、攻撃者がサインインや事前アクセスを必要とせずに、影響を受けるシステム上でコードを実行できる可能性があります」とアドバイザリは説明しています。
Microsoftが2026年5月のPatch Tuesdayアップデートで修正した脆弱性のうち、約12件は攻撃に悪用される可能性が高いとフラグが立てられていましたが、CVE-2026-41089はその対象ではありませんでした。
CCBは金曜日、脅威アクターがこの欠陥を実際の環境で積極的に悪用していると警告し、直ちにパッチを適用するよう呼びかけました。
「現在、実際の環境で積極的に悪用されています」とCCBは指摘し、リモート攻撃者がこれを利用してSystem権限で任意のコードを実行できると説明しています。
本記事の執筆時点では、この脆弱性が攻撃に悪用されたという他の報告はなく、Microsoftも悪用の事実を示す形でアドバイザリを更新するには至っていません。
各組織は、CVE-2026-41089の深刻度、継続的な悪用の可能性、そしてWindows Netlogonが攻撃者の標的となってきた経緯を踏まえ、できる限り速やかにパッチを適用することが推奨されます。
Netlogonサービスは、ドメインベースのネットワーク上で認証を処理するコアのバックグラウンドサービスです。この機能に重大な脆弱性が存在した場合、攻撃者はドメインコントローラーおよびそれに接続するマシンを掌握できる可能性があります。
SecurityWeekの問い合わせに対し、MicrosoftはCCBの主張を裏付ける証拠は見つかっていないと回答しました。
「お客様はCVE-2026-41089のガイダンスに従い、この脆弱性から保護するために、未パッチのシステムへ最新のセキュリティアップデートをインストールされることをお勧めします」とMicrosoftの広報担当者は述べました。
※Microsoftのコメントを追記して更新しました。
翻訳元: https://www.securityweek.com/critical-windows-netlogon-vulnerability-in-attackers-crosshairs/