آسیبپذیری Netlogon در ویندوز اکنون وارد فاز اکسپلویت فعال شده و مهاجمان در حملات واقعی از آن سوءاستفاده میکنند. این ضعف امنیتی بحرانی با شناسه CVE-2026-41089 امکان اجرای کد از راه دور (RCE) را روی کنترلکنندههای دامنه (Domain Controller) آسیبپذیر فراهم میکند. اگرچه آسیبپذیری Netlogon پیشتر در بهروزرسانی امنیتی ماه می 2026 توسط مایکروسافت پچ شده بود، اما مرکز امنیت سایبری بلژیک (CCB) نسبت به سوءاستفاده فعال از آن در محیط واقعی هشدار داده است.
جزئیات فنی آسیبپذیری Netlogon و امکان اجرای کد از راه دور
مرکز امنیت سایبری بلژیک (CCB) روز جمعه هشدار داد که مهاجمان سایبری در حال سوءاستفاده از آسیبپذیری بحرانی CVE-2026-41089 در سرویس Netlogon ویندوز هستند. این نهاد که بهعنوان مرجع ملی امنیت سایبری بلژیک فعالیت میکند، از مدیران فناوری اطلاعات خواسته است سرورهای آسیبپذیر را در سریعترین زمان ممکن بهروزرسانی و پچ کنند.
Netlogon یک رابط فراخوانی رویه از راه دور (Remote Procedure Call – RPC) و یکی از سرویسهای کلیدی پسزمینه در ویندوز سرور (Windows Server) است که وظیفه احراز هویت کاربران و سرویسها را در شبکههای مبتنی بر دامنه ویندوز بر عهده دارد.
مایکروسافت این ضعف امنیتی را در بهروزرسانی Patch Tuesday ماه می 2026 برطرف کرد. به گفته این شرکت، CVE-2026-41089 یک آسیبپذیری از نوع سرریز بافر مبتنی بر پشته (Stack-Based Buffer Overflow) در سرویس Netlogon است که میتواند امکان اجرای کد از راه دور (RCE) را برای مهاجمان فراهم کند.
بر اساس توضیحات فنی مایکروسافت، مهاجم میتواند با ارسال یک درخواست شبکهای ویژه و دستکاریشده به سروری که نقش کنترلکننده دامنه را بر عهده دارد، این سرویس را هدف قرار دهد. در صورت موفقیتآمیز بودن حمله، Netlogon درخواست دریافتی را بهدرستی پردازش نخواهد کرد و در نتیجه مهاجم میتواند بدون نیاز به احراز هویت یا دسترسی قبلی، کد دلخواه خود را روی سیستم هدف اجرا کند.
نسخههای تحت تأثیر
آسیبپذیری CVE-2026-41089 تمامی نسخههای پشتیبانیشده ویندوز سرور از جمله جدیدترین نسخه این سیستمعامل، یعنی ویندوز سرور 2025 را تحت تأثیر قرار میدهد.
بر اساس راهنمای امنیتی (Security Advisory) منتشرشده توسط مایکروسافت در 12 می 2026، این آسیبپذیری توسط تیم پژوهش و محافظت در برابر حملات ویندوز (WARP) شناسایی شده است. WARP یک تیم داخلی در مایکروسافت است که در حوزه پژوهشهای تهاجمی امنیت سایبری، تحلیل تکنیکهای حمله و تحقیقات مهندسی امنیت فعالیت میکند.
اهمیت آسیبپذیری Netlogon از آن جهت بالاست که مهاجمان میتوانند کنترلکنندههای دامنه را هدف قرار دهند. این سامانهها مرکز اصلی زیرساخت اکتیو دایرکتوری (Active Directory) محسوب میشوند و وظیفه احراز هویت کاربران، اعمال کنترلهای دسترسی و مدیریت هویت سرویسها و سامانههای متصل به دامنه را بر عهده دارند.
هشدار CCB درباره اکسپلویت فعال آسیبپذیری Netlogon
مرکز امنیت سایبری بلژیک هشدار داد که مهاجمان بهطور فعال از آسیبپذیری CVE-2026-41089 سوءاستفاده میکنند و این ضعف امنیتی اکنون در حملات واقعی (In the Wild) مورد سوءاستفاده قرار گرفته است. این نهاد همچنین از مدیران فناوری اطلاعات و تیمهای امنیتی خواست تا سرورهای آسیبپذیر را در سریعترین زمان ممکن بهروزرسانی و پچ کنند.
CCB در پیام هشدار خود اعلام کرد:
«آسیبپذیری CVE-2026-41089 در Netlogon اکنون بهصورت فعال در حملات واقعی مورد سوءاستفاده قرار میگیرد و میتواند منجر به اجرای کد از راه دور (RCE) شود. این آسیبپذیری Netlogon بر اساس نسخه 3.1 سامانه امتیازدهی استاندارد آسیبپذیریها (CVSS) امتیاز 9.8 را دریافت کرده است. هرچه سریعتر پچ امنیتی مربوطه را نصب کنید.»
اگرچه CCB جزئیات فنی بیشتری درباره این حملات منتشر نکرده است، اما سخنگوی این مرکز اعلام کرد اطلاعات مربوط به سوءاستفاده فعال از CVE-2026-41089 از طریق «شرکای مورد اعتماد» این نهاد دریافت شده است.
واکنش مایکروسافت به گزارش اکسپلویت فعال
مایکروسافت نیز در واکنش به این گزارش اعلام کرد که در حال حاضر شواهدی در اختیار ندارد که ادعای مرکز امنیت سایبری بلژیک درباره اکسپلویت فعال CVE-2026-41089 را تأیید کند.
با این حال، این شرکت به مشتریان خود توصیه کرده است راهنمای امنیتی مربوط به آسیبپذیری Netlogon را دنبال کرده و برای محافظت از سیستمهای آسیبپذیر، آخرین بهروزرسانیهای امنیتی را روی سیستمهای پچنشده نصب کنند.
موج اخیر آسیبپذیریهای روز صفر ویندوز
این هشدار در شرایطی منتشر شده که مایکروسافت دو هفته پیش نیز راهکارهای کاهش ریسک برای YellowKey با شناسه CVE-2026-45585 را ارائه کرده بود؛ یک آسیبپذیری روز صفر (Zero-Day) در BitLocker ویندوز که امکان دسترسی به درایوهای محافظتشده را فراهم میکند.
این آسیبپذیری توسط پژوهشگر امنیتی ناشناس با نام Nightmare Eclipse افشا شد. وی YellowKey را نوعی بکدور توصیف کرده و همزمان یک اکسپلویت اثبات مفهومی (PoC) برای آن منتشر کرده است.
در ماههای اخیر، Nightmare Eclipse چند آسیبپذیری روز صفر دیگر را نیز افشا کرده است؛ از جمله BlueHammer با شناسه CVE-2026-33825 و RedSun با شناسه CVE-2026-41091. هر دو مورد از نوع افزایش سطح دسترسی (Privilege Escalation) هستند و طبق گزارشها اکنون در حملات واقعی مورد سوءاستفاده قرار میگیرند.
همچنین GreenPlasma و MiniPlasma نیز بهعنوان آسیبپذیریهای روز صفر افزایش سطح دسترسی معرفی شدهاند که امکان دستیابی به سطح دسترسی SYSTEM را فراهم میکنند.
علاوه بر این، UnDefend با شناسه CVE-2026-45498 آسیبپذیری روز صفر دیگری است که مهاجمان دارای دسترسی کاربر استاندارد میتوانند از آن برای جلوگیری از بهروزرسانی پایگاه داده شناسایی تهدیدات مایکروسافت دیفندر (Microsoft Defender) سوءاستفاده کنند.
واکنش مایکروسافت به افشاگریهای Nightmare Eclipse
مایکروسافت در واکنش اولیه به افشاگریهای Nightmare Eclipse، احتمال اقدام حقوقی علیه انتشار این اطلاعات را مطرح کرد. سپس در پیامی اعلام کرد در مواردی که فعالیتهای غیرقانونی و مخرب موجب آسیب واقعی به مشتریان شود، موضوع از طریق مراجع قانونی پیگیری خواهد شد. بر اساس بهروزرسانی منتشرشده در 2 ژوئن، اظهارات مایکروسافت و مرکز امنیت سایبری بلژیک (CCB) پس از انتشار اولیه خبر به گزارش اضافه شدهاند.
جمعبندی
با توجه به هشدار منتشرشده از سوی مرکز امنیت سایبری بلژیک (CCB)، سازمانها باید وضعیت بهروزرسانی سرورهای خود را بررسی کرده و نصب پچهای امنیتی مرتبط را در اولویت قرار دهند. با توجه به نقش حیاتی کنترلکنندههای دامنه در زیرساختهای سازمانی، بیتوجهی به آسیبپذیری Netlogon میتواند ریسک نفوذ و اجرای کد از راه دور را افزایش دهد.
