Foto: Xportal / ilustracija
Microsoft je objavio sigurnosnu ranjivost CVE-2026-41089 koja pogađa Windows Server domain controllere, od verzije 2012 do trenutnih izdanja, a Tom's Hardware navodi da se propust već iskorištava u praksi. Riječ je o ranjivosti ocijenjenoj s 9,8, a napadač u istoj mreži može poslati neispravan UDP paket prema domain controlleru i potencijalno dobiti sistemski pristup bez prethodne autentikacije. Ako napadač ne ode tako daleko, isti mehanizam može izazvati ponovno pokretanje poslužitelja i otvoriti put prema uskraćivanju usluge.
Ranjivost se veže uz Netlogon, a za nju, prema objavi, nema ublažavanja osim zakrpe. Patch dolazi u okviru Microsoftova May 12 Patch Tuesdayja, a Tom's Hardware piše da bi dio domain controllera mogao ostati nezakrpan, posebno starije verzije. Za administratore su spomenuti i pojedinačni linkovi za zakrpe te skripte za otklanjanje posljedica, ali središnja preporuka ostaje ista: sustave treba ažurirati.
Tehnički opis propusta pokazuje da se radi o klasičnom buffer overflowu. Posebno oblikovan mrežni paket sadrži jedno polje veće nego što bi smjelo biti, a logika serijalizacije podataka u Netlogonu kombinira podatke koje šalje napadač s imenom poslužitelja. Prema opisu, upravo ta kombinacija dovodi do prelijevanja međuspremnika, što je jedan od najizravnijih tipova sigurnosnih propusta.
Tom's Hardware navodi i da bi uspješna zlouporaba mogla napadaču omogućiti stvaranje novih računa s različitim razinama pristupa, uključujući Kerberos Ticket-Granting Tickets, čime bi se otvorio pristup većem dijelu podataka unutar domene. Upozorava se i da je za veće mreže dovoljno imati samo jedan ranjivi stroj da cijela mreža postane nesigurna. Zbog toga sigurnosni stručnjaci preporučuju da administratori ovu ranjivost tretiraju kao prijetnju nalik crvu i zakrpe sve povezane domain controllere odjednom, kako se ne bi išlo od uređaja do uređaja s novim propustima koji ostaju otvoreni.
Microsoft je ranije rekao da ranjivost tada još nije bila javno objavljena i da nije bilo aktivnih napada, no situacija se, prema Tom's Hardwareu, promijenila nakon otkrića jer su kasnija izvješća potvrdila da se sada iskorištava u praksi. Kao dokaz koncepta spominje se i GitHub repozitorij sa šifrom koja nakon otprilike minute ruši LSASS servis. Uz to, opis tehničkog mehanizma ostavlja malo prostora za dvojbu: napadački paket ne treba sadržavati ništa posebno složeno, nego samo podatak koji je jednostavno prevelik za očekivanu veličinu polja.
Vezane vijesti
