CVE-2026-41089 とは
CVE-2026-41089 は、Windows のドメイン認証を担う Netlogon サービスに見つかったリモートコード実行(RCE)脆弱性で、2026年5月の Patch Tuesday(5月12日公開)で修正されました。CVSS は 9.8(Critical)。認証不要・ユーザー操作不要で、攻撃者が細工したネットワークリクエストを送るだけで、ドメインコントローラ(DC)上に SYSTEM 権限でコードを実行できてしまう構造でした。
DC は Active Directory(AD)の心臓部であり、組織内すべてのユーザー認証・権限を司ります。ここを SYSTEM 権限で握られることは、実質的にドメイン全体(全 PC・全サーバー・全アカウント)の掌握を意味します。被害の大きさという点で最悪クラスの脆弱性です。
重要な前提として、本記事執筆時点で「野良での悪用」は確認されていません。Microsoft は悪用可能性を「Exploitation Less Likely(悪用される可能性は低い)」と評価しています。ただし後述の通り、この種の評価は過去に裏切られてきました。
仕組み: MS-NRPC のバッファオーバーフロー
Netlogon は MS-NRPC(Netlogon Remote Protocol)というプロトコルで、ドメイン参加マシンと DC の間の認証・セキュアチャネル確立を担います。本脆弱性は、このNetlogon の処理にあるスタックベースのバッファオーバーフローです。
概念的な流れは次の通りです(具体的な攻撃コード・PoC は本記事では扱いません)。
- 攻撃者が DC に到達できるネットワーク上から、Netlogon プロトコルの細工したリクエストを送る。
- 受信側のバッファ処理が想定を超える長さ/不正な構造を適切に検証せず、スタック上の領域を上書き(オーバーフロー)する。
- 上書きによって制御フローが攻撃者の意図した先へ移り、任意コードが実行される。
- 実行は Netlogon サービスの権限、すなわち DC 上の SYSTEM 権限で行われる。
ポイントは、攻撃の起点に正規の認証情報が一切不要なことです。DC の Netlogon にネットワーク的に到達できるだけで成立しうるため、内部ネットワークに侵入した攻撃者(フィッシングで端末1台を取った段階など)が一気にドメイン管理者級へ昇格する「ラテラルムーブメントの飛び道具」になり得ます。
「Zerologon の再来」と言われる理由
Netlogon の重大脆弱性と聞いて多くの管理者が思い出すのが、2020年の Zerologon(CVE-2020-1472)です。Zerologon は Netlogon の暗号処理の欠陥を突き、認証なしで DC のマシンアカウントパスワードをリセットしてドメインを乗っ取れるという、同じく CVSS 10 級の脆弱性でした。
Zerologon が示した教訓は重大です。
- 「悪用される可能性は低い」評価は当てにならないことがある: Zerologon はアドバイザリ公開から2週間ほどで武器化(weaponize)され、PoC が拡散し、実攻撃・ランサムウェアに組み込まれた。
- DC の Netlogon は攻撃者にとって最高の標的: 一撃でドメイン全体を獲れるため、研究者も攻撃者も真っ先に解析する。
- パッチ適用が遅れる組織が必ず残る: Zerologon は公開から数年経っても未適用環境が悪用され続けた。
CVE-2026-41089 が現時点で未悪用でも、「Less Likely だから後回し」は危険というのが Zerologon の最大の教訓です。RCE 型である分、武器化されれば Zerologon 以上に直接的な被害につながり得ます。
影響範囲
- 対象: ドメインコントローラとして動作する Windows Server(複数のサポート対象バージョンが影響対象として挙げられています)。
- 必要条件: 攻撃者が DC の Netlogon にネットワーク到達できること。認証情報やユーザー操作は不要。
- 影響: DC 上での SYSTEM 権限コード実行 → ドメイン全体の侵害につながり得る。
この脆弱性が含まれた 2026年5月 Patch Tuesday は、2024年6月以来はじめてゼロデイを含まない回でしたが、本件のような「未悪用だが致命的」な脆弱性こそ優先適用が求められます。
対策(AD/サーバー管理者)
- 最優先で2026年5月の累積更新(Patch Tuesday)を適用する。とりわけすべてのドメインコントローラを最優先対象とする。
- DC を晒さない: Netlogon を含む DC の管理系ポートはインターネットに公開しない。内部でもセグメント分離・ファイアウォールで到達範囲を絞る。
- 即時パッチが難しい場合の暫定策: パッチ適用までの間、DC へ到達できるネットワーク範囲を最小化し、マイクロパッチ(サードパーティの一時パッチ)の利用も検討する(恒久対策は必ず公式パッチ)。
- 検知の準備: Netlogon 関連の異常な RPC トラフィックや、DC の予期しないプロセス生成・権限昇格を監視できるようにしておく。
- 多層防御の基本を維持: 端末1台の侵害が DC に直結しないよう、管理者アカウントの分離(Tier モデル)、LAPS、最小権限、内部ネットワークのセグメンテーションを徹底する。
侵害が疑われたら
- 該当 DC を隔離し、不審なプロセス・新規アカウント・GPO 改ざん・スケジュールタスクを点検する。
- DC 侵害は影響が広範なため、krbtgt パスワードのリセット(2回)やドメイン全体の資格情報ローテーションを含む本格的な封じ込めを検討する。
- 影響範囲の特定が困難な場合は、インシデントレスポンスの専門家を関与させる。AD の完全侵害は「作り直し」が必要になることもある。
この事例からの教訓
- ドメインコントローラは「絶対防衛ライン」。DC に到達できる経路と権限を最小化することが、Netlogon 系脆弱性に対する最も効く備え。
- ベンダーの「悪用されにくい」評価を過信しない。Zerologon のように、評価と現実が乖離した前例がある。CVSS 9.8 かつ DC 対象なら最優先で当てる。
- メモリ安全性の問題は根強い。バッファオーバーフローのような古典的欠陥が、最重要コンポーネントで今なお RCE を生む。境界での厳格な入力検証が要。
OWASP でいえば A06:2021 - Vulnerable and Outdated Components(脆弱で古いコンポーネント)と、パッチ運用・最小権限の徹底に直結します。全体像は OWASP Top 10 入門 を参照ください。同時期に公表された別系統の重大脆弱性として、Web ホスティングを狙った cPanel 認証バイパス(CVE-2026-41940) も合わせてご覧ください。
なお当サイト(secutils.jp)は Windows ドメインや AD を使用しておらず、本脆弱性の影響は受けません。本記事は AD を運用する組織の管理者向けの情報です。