Telekinezom do domen kontrolera: udaljeno i bez ovlašćenja do srca poslovne mreže
Domen kontroler je središte svake Windows poslovne mreže — server koji čuva korisničke naloge, registrovane uređaje i upravlja njihovim pristupom. Netlogon je servis preko kog se to upravljanje odvija. Ranjivost CVE-2026-41089 upravo na tom mestu napadačima širom otvara vrata. Bez lozinke i bez interakcije sa korisnikom, ranjivost omogućava udaljeno izvršavanje Netlogon zahteva na domen kontroleru, pod SYSTEM ovlašćenjima — najvišim koja postoje. A ko upravlja domen kontrolerom, upravlja i celom mrežom. Ovaj propust imaju svi domen kontroleri od verzije 2012 pa naviše. Zakrpa postoji od majskog „Patch Tuesday" paketa, a propust se već aktivno zloupotrebljava na neažuriranim serverima. Netlogon je jednom već bio izvor slične katastrofe (Zerologon, 2020), pa mu ovo dođe kao krajnje neprijatan deja vu.
Domen kontroler je server najosetljiviji na ažuriranje. Restart koji se podrazumeva znači zastoj prijava za sve, pa se zakrpe za DC rutinski odlažu do prvog slobodnog maintenance prozora. Napadači baš na to i računaju. Kod nas mnoge firme imaju samo jedan domen kontroler, bez redudantne rezerve i nekoga da prati logove, pa zadatak ažuriranja ume da se odloži u nedogled. A to sa ovakvim ranjivostima ne sme da bude slučaj.
- Zakrpi domen kontrolere ODMAH majskom Microsoft zakrpom za CVE-2026-41089 — DC ide prvi, ne poslednji; ako treba, zaustavi produkciju i idi u restart
- Proveri da li ti DC još radi na Windows Server 2012/2012 R2 (bez podrške) — ti se hitno krpe i planira zamena, što pre
- Domen kontroler ne sme da bude dostupan sa interneta; ograniči koje mreže i mašine uopšte smeju da pričaju sa njim preko Netlogon-a
- Pošto se već zloupotrebljava, traži tragove provale: nove ili izmenjene naloge, ugašenu zaštitu, sumnjiv Netlogon saobraćaj i neobične prijave na DC
- Ako ne možeš odmah da zakrpiš, ponašaj se kao da je DC ugrožen: pojačaj nadzor i proveri da AD backup zaista može da se vrati na čist sistem