بهره‌برداری فعال از آسیب‌پذیری بحرانی Windows Netlogon

مرکز امنیت سایبری بلژیک (CCB) نسبت به بهره‌برداری فعال مهاجمان از یک آسیب‌پذیری بحرانی در سرویس Windows Netlogon هشدار داده است. این آسیب‌پذیری که با شناسه CVE-2026-41089 ردیابی می‌شود، امکان اجرای کد از راه دور (Remote Code Execution یا RCE) را روی کنترل‌کننده‌های دامنه (Domain Controller) فراهم می‌کند و دارای امتیاز خطر 9.8 از 10 در سیستم CVSS است.

مایکروسافت (Microsoft) این نقص امنیتی را در به‌روزرسانی‌های ماه می 2026 برطرف کرد، اما اکنون گزارش‌ها نشان می‌دهد که مهاجمان سایبری در حال سوءاستفاده عملی از این آسیب‌پذیری در محیط‌های واقعی هستند.

آسیب‌پذیری CVE-2026-41089 چیست؟

سرویس Netlogon یکی از اجزای حیاتی سیستم‌عامل Windows Server محسوب می‌شود که وظیفه احراز هویت کاربران، سرویس‌ها و سیستم‌های عضو دامنه را بر عهده دارد. آسیب‌پذیری CVE-2026-41089 ناشی از یک سرریز بافر مبتنی بر پشته (Stack-Based Buffer Overflow) در این سرویس است.

بر اساس توضیحات مایکروسافت، مهاجم می‌تواند با ارسال یک درخواست شبکه‌ای دستکاری‌شده به سروری که نقش Domain Controller را ایفا می‌کند، باعث پردازش نادرست داده‌ها توسط سرویس Netlogon شود. در صورت موفقیت، مهاجم بدون نیاز به احراز هویت یا دسترسی قبلی قادر خواهد بود کد دلخواه خود را روی سیستم هدف اجرا کند.

تمامی نسخه‌های پشتیبانی‌شده Windows Server تحت تأثیر قرار دارند

طبق اعلام مایکروسافت، این آسیب‌پذیری تمامی نسخه‌های پشتیبانی‌شده Windows Server را تحت تأثیر قرار می‌دهد؛ از جمله:

• Windows Server 2016

• Windows Server 2019

• Windows Server 2022

• Windows Server 2025

این موضوع باعث شده است که سازمان‌ها، مراکز داده و شبکه‌های مبتنی بر Active Directory در معرض ریسک بالایی قرار گیرند.

هشدار رسمی مرکز امنیت سایبری بلژیک

مرکز امنیت سایبری بلژیک اعلام کرده که بهره‌برداری از این آسیب‌پذیری هم‌اکنون در سطح اینترنت مشاهده شده است و از مدیران فناوری اطلاعات خواست بدون تأخیر نسبت به نصب وصله‌های امنیتی اقدام کنند.

این نهاد در بیانیه خود تأکید کرد:

آسیب‌پذیری CVE-2026-41089 در Windows Netlogon اکنون به‌صورت فعال مورد سوءاستفاده قرار می‌گیرد و می‌تواند به اجرای کد از راه دور منجر شود.

با این حال، جزئیات فنی بیشتری درباره گروه‌های مهاجم یا نحوه حملات منتشر نشده است.

کشف آسیب‌پذیری توسط تیم تحقیقاتی مایکروسافت

مایکروسافت اعلام کرده است که این نقص امنیتی توسط تیم داخلی Windows Attack Research & Protection (WARP) شناسایی شده است؛ تیمی که به‌صورت تخصصی روی تحقیقات تهاجمی امنیتی و کشف ضعف‌های امنیتی محصولات مایکروسافت فعالیت می‌کند.

در زمان نگارش این خبر، مایکروسافت هنوز هشدار امنیتی خود را به‌روزرسانی نکرده و به‌طور رسمی بهره‌برداری فعال از این آسیب‌پذیری را تأیید نکرده است.

افزایش نگرانی‌ها درباره آسیب‌پذیری‌های روز صفر Windows

این خبر در شرایطی منتشر می‌شود که طی ماه‌های اخیر چندین آسیب‌پذیری روز صفر (Zero-Day) در محصولات مایکروسافت افشا شده‌اند. از جمله:

• YellowKey (CVE-2026-45585) در BitLocker

• BlueHammer (CVE-2026-33825)

• RedSun (CVE-2026-41091)

• GreenPlasma

• MiniPlasma

• UnDefend (CVE-2026-45498)

برخی از این آسیب‌پذیری‌ها نیز هم‌اکنون در حملات واقعی مورد سوءاستفاده قرار می‌گیرند و نگرانی کارشناسان امنیتی را افزایش داده‌اند.

توصیه‌های امنیتی برای سازمان‌ها

کارشناسان امنیت سایبری به مدیران شبکه و تیم‌های زیرساخت توصیه می‌کنند:

1. آخرین به‌روزرسانی‌های امنیتی مایکروسافت را فوراً نصب کنند.

2. تمامی سرورهای Domain Controller را از نظر نصب وصله CVE-2026-41089 بررسی کنند.

3. لاگ‌های Netlogon و ترافیک شبکه را برای شناسایی فعالیت‌های مشکوک رصد کنند.

4. دسترسی‌های شبکه‌ای غیرضروری به کنترل‌کننده‌های دامنه را محدود سازند.

5. راهکارهای تشخیص و پاسخ به تهدیدات (EDR) را برای شناسایی رفتارهای غیرعادی فعال نگه دارند.

جمع‌بندی

آسیب‌پذیری CVE-2026-41089 یکی از خطرناک‌ترین ضعف‌های امنیتی اخیر در اکوسیستم Windows محسوب می‌شود. با توجه به اینکه بهره‌برداری از این نقص اکنون به‌صورت فعال در حال انجام است و مهاجم برای سوءاستفاده از آن به احراز هویت نیاز ندارد، سازمان‌ها باید نصب وصله‌های امنیتی مربوطه را در اولویت فوری قرار دهند. هرگونه تأخیر در به‌روزرسانی کنترل‌کننده‌های دامنه می‌تواند منجر به نفوذ کامل مهاجمان به زیرساخت‌های سازمانی شود.