Windows Netlogon CVE-2026-41089 sfruttato: Necessaria una patch prioritaria

Gli aggressori stanno sfruttando attivamente una vulnerabilità critica di Windows Netlogon che Microsoft ha patchato tre settimane fa e che ha valutato come improbabile da sfruttare. Il Centre for Cybersecurity Belgium ha emesso un avviso di sfruttamento il 29 maggio, alzando il profilo di rischio per ogni ambiente Windows Server non patchato in esecuzione come controller di dominio. Sebbene Microsoft abbia dichiarato il 1° giugno che sta ancora convalidando queste affermazioni e non ha ancora aggiornato il portale MSRC, i team di sicurezza sono invitati a non aspettare.

CVE-2026-41089 è un buffer overflow basato su stack nel servizio Netlogon con un punteggio CVSS di 9,8. Un aggressore remoto non autenticato invia una richiesta di rete artigianale a un Windows Server che agisce come controller di dominio. Se ha successo, il servizio Netlogon gestisce male la richiesta, consentendo all'aggressore di eseguire codice arbitrario con privilegi di SISTEMA. Nessuna credenziale. Nessuna interazione con l'utente. Non è necessario un accesso precedente.

Perché la preoccupazione

Microsoft ha applicato la patch CVE-2026-41089 il 12 maggio come parte del Patch Tuesday di maggio, che ha affrontato 138 CVE in totale. Nonostante il punteggio di gravità 9.8, Redmond ha valutato la falla come "sfruttamento meno probabile" al momento del rilascio. Questo divario tra la valutazione ufficiale e le segnalazioni di minacce reali è esattamente ciò che sta prendendo alla sprovvista i team di sicurezza aziendali.

L'avviso di CCB è arrivato 17 giorni dopo il rilascio della patch. Si tratta di un periodo molto vicino a quello in cui operano molti cicli di patch aziendali. Le organizzazioni che trattano gli aggiornamenti del Patch Tuesday come un programma di rollout di 30 giorni piuttosto che come una priorità immediata sono attualmente esposte.

Windows Netlogon CVE-2026-41089: Cosa è a rischio

I controller di dominio sono la spina dorsale dell'autenticazione https://www.helpnetsecurity.com/2026/06/01/windows-netlogon-rce-exploited-cve-2026-41089/ degli ambienti Active Directory. Uno sfruttamento riuscito di CVE-2026-41089 offre a un aggressore l'esecuzione di codice a livello di SISTEMA sul controller di dominio stesso, il che in pratica significa il pieno controllo del dominio Active Directory, la possibilità di creare account privilegiati e il movimento laterale su ogni sistema che si autentica a quel controller.

Jack Bicer, direttore della ricerca sulle vulnerabilità di Action1, ha segnalato la falla al momento della patch: "Questo CVE richiede attenzione immediata. Gli attacchi riusciti possono portare a una compromissione diffusa degli endpoint, alla distribuzione di ransomware, alla raccolta di credenziali e all'interruzione delle operazioni nelle reti aziendali"

Cosa si può fare

Applichi immediatamente l'aggiornamento cumulativo del 12 maggio, se non è stato distribuito. La correzione è inclusa nell'aggiornamento standard di Windows Server per tutte le versioni supportate. Isolare i controller di dominio dall'esposizione diretta a Internet e limitare il traffico Netlogon solo alle fonti interne autenticate. Il 9 giugno è il prossimo Patch Tuesday e l'ultima finestra di aggiornamento prima del 24-27 giugno Certificato Secure Boot che aggiunge ulteriore urgenza al completamento del rollout di maggio prima di quella data.