ベルギーのサイバーセキュリティ機関 CCB は 6 月 1 日、Windows Netlogon の遠隔コード実行脆弱性 CVE-2026-41089 (CVSS 9.8) が実環境で悪用されていると緊急警告を出しました。本脆弱性は 5 月 Patch Tuesday で修正済みですが、ドメインコントローラを直接掌握される深刻度のため、未適用環境は最優先での対応が求められます。
主なポイント
- 脆弱性の正体は Netlogon のスタックベース・バッファオーバーフローで、特権なしの攻撃者が細工した RPC リクエストでドメインコントローラ上に任意コードを実行可能
- 認証や事前のアクセスは不要 (0-click)、AD 全体の完全侵害に直結
- CCB は「信頼できるパートナーから情報提供を受けた」とし、ドメインコントローラ、特に分割ネットワーク越しに露出している環境を最優先で更新するよう推奨
- Microsoft は BleepingComputer に対し「現時点で active exploitation を裏付ける証拠は持っていない」とコメント、両者の見解は分かれている
- 米 CISA は本脆弱性を KEV カタログに収載予定との観測も出ており、連邦機関の修正期限が短期で課される可能性
出典: Critical Windows Netlogon RCE flaw now exploited in attacks