ベルギーサイバーセキュリティセンター(CCB)は、脅威アクターがWindowsのNetlogonに存在する重大な脆弱性をリモートコード実行に悪用していると警告しています。
CVE-2026-41089(CVSSスコア:9.8)として追跡されているこの脆弱性は、Microsoftが5月12日のPatch Tuesdayセキュリティアップデートで136件の他のバグとともに修正し、同日に公開されました。
Microsoftのアドバイザリによると、この欠陥はスタックベースのバッファオーバーフローであり、細工されたネットワークリクエストを通じて悪用される可能性があります。
Microsoftのアドバイザリはさらに、認証されていない攻撃者がドメインコントローラーとして機能するWindowsサーバーを標的にすることで、この脆弱性を悪用できると明らかにしています。
「攻撃が成功した場合、Netlogonサービスがリクエストを不適切に処理し、攻撃者がサインインや事前アクセスなしに影響を受けるシステム上でコードを実行できる可能性があります」とアドバイザリには記されています。
Microsoftが2026年5月のPatch Tuesdayアップデートで修正した脆弱性のうち、約12件が攻撃に悪用される可能性が高いとしてフラグが立てられましたが、CVE-2026-41089はその中に含まれていませんでした。
金曜日、CCBは脅威アクターがこの脆弱性を実際の環境で積極的に悪用しているとして警告を発し、直ちにパッチを適用するよう強く求めました。
CCBは「この脆弱性は現在、実際の環境で積極的に悪用されています」と述べ、リモートの攻撃者がSystem権限で任意のコードを実行するために悪用できると説明しています。
本記事の公開時点では、この脆弱性が攻撃に悪用されているという他の報告はなく、Microsoftもアドバイザリを更新して悪用の事実を示してはいません。SecurityWeekはMicrosoftにコメントを求めるメールを送っており、回答があれば本記事を更新する予定です。
この脆弱性の深刻度、進行中の悪用の可能性、そしてWindows Netlogonが攻撃者に繰り返し狙われてきた経緯を踏まえ、各組織にはCVE-2026-41089のパッチをできる限り早急に適用することが推奨されます。
Netlogonサービスは、ドメインベースのネットワークにおける認証を管理するコアのバックグラウンドサービスです。この機能に重大なバグが存在すると、攻撃者がドメインコントローラーおよびそれに接続するマシンを制御できる可能性があります。
翻訳元: https://www.securityweek.com/critical-windows-netlogon-vulnerability-in-attackers-crosshairs/
