Windows Netlogon CVE-2026-41089 已被利用：需要优先修补

攻击者正在积极利用一个关键的 Windows Netlogon 漏洞，而微软三周前已经修补了该漏洞，并评估该漏洞不太可能被利用。比利时网络安全中心（Centre for Cybersecurity Belgium）于5月29日发布了漏洞利用警告，提高了作为域控制器运行的每一个未打补丁的Windows服务器环境的风险等级。虽然微软在6月1日表示仍在验证这些说法，并且尚未更新其MSRC门户网站，但我们敦促安全团队不要再等待了。

CVE-2026-41089是 Netlogon 服务中基于堆栈的缓冲区溢出，CVSS 得分为 9.8。未认证的远程攻击者会向作为域控制器的 Windows Server 发送伪造的网络请求。如果成功，Netlogon 服务会错误处理请求，允许攻击者以 SYSTEM 权限执行任意代码。无凭证。无需用户交互。无需事先访问。

关注原因

微软在 5 月 12 日发布了 CVE-2026-41089 补丁，作为其 5 月份 "星期二补丁 "的一部分，共处理了 138 个 CVE。尽管该漏洞的严重性达到了 9.8 级，但 Redmond 在发布时将其评估为 "不太可能被利用"。官方评估与实际威胁报告之间的差距恰恰让企业安全团队措手不及。

在补丁发布 17 天后，CCB 发布了公告。这与许多企业的补丁周期完全吻合。那些将 "补丁星期二 "更新视为 30 天推出计划而非当务之急的企业目前已经暴露出了问题。

Windows Netlogon CVE-2026-41089：风险所在

域控制器是身份验证的支柱。活动目录环境的身份验证支柱。成功利用 CVE-2026-41089 可让攻击者在域控制器本身执行 SYSTEM 级代码，这实际上意味着完全控制 Active Directory 域，能够创建特权账户，并横向移动针对该控制器进行身份验证的每个系统。

Action1 漏洞研究主管 Jack Bicer 在打补丁时指出了这一漏洞："这个 CVE 需要立即引起注意。成功的攻击可能会导致大范围的端点入侵、勒索软件部署、凭据获取以及整个企业网络的运行中断"。

可以采取的措施

如果尚未部署 5 月 12 日的累积更新，请立即应用该更新。所有支持版本的标准 Windows Server 更新中都包含该修复程序。将域控制器与互联网直接隔离，并限制 Netlogon 流量仅用于经过验证的内部来源。6 月 9 日是下一个补丁星期二，也是 6 月 24-27 日之前的最后一个更新窗口。 安全启动证书到期窗口之前的最后一个更新窗口，这进一步增加了在该日期之前完成五月份推出的紧迫性。