- شناسه CVE-2026-41089 :CVE
- CWE-121 :CWE
- yes :Advisory
- منتشر شده: می 12, 2026
- به روز شده: ژوئن 19, 2026
- امتیاز: 9.8
- نوع حمله: Stack-based Buffer Overflow
- اثر گذاری: Remote code execution(RCE)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Microsoft
- محصول: Windows Server
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری بحرانی از نوع سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در سرویس Netlogon ویندوز شناسایی شده است. این ضعف امنیتی به یک مهاجم غیرمجاز اجازه میدهد از طریق شبکه و بدون نیاز به احراز هویت، کد دلخواه خود را بهصورت از راه دور (RCE) روی سیستمهای آسیبپذیر اجرا کند.
توضیحات
آسیبپذیری CVE-2026-41089 از نوع سرریز بافر مبتنی بر پشته در سرویس Netlogon ویندوز مطابق با CWE-121 است. این ضعف امنیتی به حالتی اشاره دارد که در آن سرویس Netlogon هنگام پردازش درخواستهای احراز هویت شبکهای، دادههای ورودی را بدون انجام بررسی و اعتبارسنجی دقیق طول دادهها در یک بافر مبتنی بر پشته کپی میکند. در نتیجه، دادههای ورودی میتوانند از ظرفیت بافر فراتر رفته و ساختارهای حیاتی حافظه مانند آدرس بازگشت توابع (Return Address) را بازنویسی کنند. این وضعیت میتواند منجر به خرابی حافظه (Memory Corruption)، تغییر جریان اجرای برنامه و در نهایت اجرای کد دلخواه از راه دور (RCE) روی سیستم هدف شود.
بر اساس اطلاعات منتشرشده توسط مایکروسافت، منشأ این آسیبپذیری در سرویس Netlogon قرار دارد؛ سرویسی که یکی از کامپوننتهای کلیدی زیرساخت احراز هویت در محیطهای دامنه ویندوز (Windows Domain Environment) محسوب میشود و در تعامل با اکتیو دایرکتوری (Active Directory) وظیفه برقراری و مدیریت ارتباطات احراز هویت بین کاربران، سیستمها و کنترلکنندههای دامنه (Domain Controller) را بر عهده دارد. این سرویس برای انجام این فرآیندها از پروتکل Netlogon Remote Protocol (NRPC) استفاده میکند. NRPC یک پروتکل ارتباطی سطح سیستم در ویندوز است که برای انتقال درخواستهای احراز هویت و ایجاد کانالهای امن بین ماشینها و کنترلکننده دامنه طراحی شده است.
طبق اطلاعات فنی منتشرشده، آسیبپذیری در فرآیند پردازش درخواستهای دریافتی از طریق پروتکل NRPC رخ میدهد؛ جایی که سرویس Netlogon در برخی شرایط دادههای ورودی را بدون اعتبارسنجی مناسب طول آنها در یک بافر مبتنی بر پشته کپی میکند. در این حالت، یک مهاجم غیرمجاز میتواند با ارسال درخواستهای دستکاریشده از طریق شبکه، شرایط لازم برای سرریز بافر را ایجاد کرده و دادههای کنترلی حافظه را بازنویسی کند.
در صورت موفقیت حمله، مهاجم قادر خواهد بود کنترل جریان اجرای سرویس Netlogon را در اختیار گرفته و کد دلخواه خود را روی سیستم هدف اجرا کند. از آنجا که Netlogon یکی از سرویسهای حیاتی در کنترلکنندههای دامنه محسوب میشود، موفقیت سوءاستفاده میتواند منجر به دستیابی مهاجم به کنترل کامل سیستم هدف شود. همچنین در محیطهای مبتنی بر اکتیو دایرکتوری، این ضعف میتواند زمینه دسترسی به منابع حساس دامنه، سوءاستفاده از مکانیزمهای احراز هویت و در برخی سناریوها به خطر افتادن کل زیرساخت اکتیو دایرکتوری را فراهم کند. بر اساس بردار CVSS این حمله از طریق شبکه، بدون نیاز به دسترسی و بدون نیاز به تعامل قابل اجرا است. این ویژگیها نشان میدهد که سوءاستفاده از این ضعف میتواند بهصورت کاملاً خودکار و تنها با شناسایی سیستمهای آسیبپذیر در شبکه انجام شود.
از منظر تأثیر امنیتی، این آسیبپذیری اثر مستقیم و شدیدی بر هر سه اصل اصلی امنیت اطلاعات دارد. از نظر محرمانگی (Confidentiality)، مهاجم میتواند به دادههای حساس دامنه و اطلاعات احراز هویت دسترسی پیدا کند. از نظر یکپارچگی (Integrity)، امکان دستکاری فرآیندهای احراز هویت و تغییر عملکرد سرویس Netlogon وجود دارد. از نظر دسترسپذیری(availability) ، این آسیبپذیری میتواند منجر به کرش سرویس Netlogon، اختلال در عملکرد کنترلکننده دامنه و در نهایت از کار افتادن سرویسهای حیاتی شبکه شود.
مایکروسافت این آسیبپذیری را در بهروزرسانیهای امنیتی رسمی خود پچ کرده است. این پچ شامل بهبود اعتبارسنجی ورودیها در هنگام پردازش بستههای NRPC، محدودسازی طول دادههای قابل کپی در بافر پشته و اصلاح منطق مدیریت حافظه در سرویس Netlogon است.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
شکل 1: تفسیر جدول CVSS
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 6.2.9200.0 before 6.2.9200.26079 | x64-based Systems | Windows Server 2012 |
| affected from 6.2.9200.0 before 6.2.9200.26079 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| affected from 6.3.9600.0 before 6.3.9600.23181 | x64-based Systems | Windows Server 2012 R2 |
| affected from 6.3.9600.0 before 6.3.9600.23181 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
| affected from 10.0.14393.0 before 10.0.14393.9140 | x64-based Systems | Windows Server 2016 |
| affected from 10.0.14393.0 before 10.0.14393.9140 | x64-based Systems | Windows Server 2016 (Server Core installation)
|
| affected from 10.0.17763.0 before 10.0.17763.8755 | x64-based Systems | Windows Server 2019 |
| affected from 10.0.17763.0 before 10.0.17763.8755 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| affected from 10.0.20348.0 before 10.0.20348.5139 | x64-based Systems | Windows Server 2022 |
| affected from 10.0.25398.0 before 10.0.25398.2330 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.32860 | x64-based Systems | Windows Server 2025 |
| affected from 10.0.26100.0 before 10.0.26100.32860 | x64-based Systems | Windows Server 2025 (Server Core installation) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 6.2.9200.26079 | x64-based Systems | Windows Server 2012 |
| 6.2.9200.26079 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| 6.3.9600.23181 | x64-based Systems | Windows Server 2012 R2 |
| 6.3.9600.23181 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
| 10.0.14393.9140 | x64-based Systems | Windows Server 2016 |
| 10.0.14393.9140 | x64-based Systems | Windows Server 2016 (Server Core installation)
|
| 10.0.17763.8755 | x64-based Systems | Windows Server 2019 |
| 10.0.17763.8755 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| 10.0.20348.5139 | x64-based Systems | Windows Server 2022 |
| 10.0.25398.2330 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 10.0.26100.32860 | x64-based Systems | Windows Server 2025 |
| 10.0.26100.32860 | x64-based Systems | Windows Server 2025 (Server Core installation) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google (Total Pages) | Search Query (Dork) | Product |
| 356,000 | site:.ir “Windows Server” | Windows Server |
نتیجه گیری
این آسیبپذیری با شدت بحرانی در سرویس Netlogon ویندوز امکان اجرای کد از راه دور را بدون نیاز به احراز هویت فراهم میکند. با توجه به نقش حیاتی Netlogon در زیرساخت اکتیو دایرکتوری و مدیریت فرآیندهای احراز هویت در شبکههای سازمانی، سوءاستفاده موفق از این آسیبپذیری میتواند منجر به دستیابی مهاجم به کنترل کامل سرور هدف و در نهایت تهدید کل دامنه و زیرساخت احراز هویت سازمان شود. برای کاهش ریسک سوءاستفاده از این آسیبپذیری، اجرای اقدامات امنیتی زیر توصیه میشود:
- نصب فوری بهروزرسانیهای امنیتی مایکروسافت: تمامی سرورهای Windows Server باید در اسرع وقت به نسخههای پچشده منتشرشده توسط مایکروسافت بهروزرسانی شوند. اعمال این پچهای امنیتی مهمترین و مؤثرترین اقدام برای رفع آسیبپذیری است.
- محدودسازی دسترسی شبکه به کنترلکنندههای دامنه: دسترسی به سرویسها و پورتهای مرتبط با Netlogon و پروتکل RPC باید تنها برای سیستمها و شبکههای مورد اعتماد مجاز باشد و از طریق فایروال شبکه یا فایروال میزبان محدود شود.
- مانیتورینگ مستمر لاگهای احراز هویت و Netlogon: ثبت و تحلیل لاگهای غیرعادی مرتبط با سرویس Netlogon میتواند به شناسایی تلاشهای احتمالی برای سوءاستفاده از آسیبپذیری کمک کند. این اطلاعات باید در سامانه مدیریت اطلاعات و رویدادهای امنیتی (SIEM) جمعآوری و تحلیل شوند.
- استفاده از سامانه EDR: این راهکار میتواند عملکردهای مشکوک مانند اجرای فرآیندهای غیرعادی روی کنترلکنندههای دامنه، تلاش برای سوءاستفاده از آسیبپذیریهای مبتنی بر حافظه و اجرای کدهای ناشناس را شناسایی و ثبت کند.
- ایمن سازی تنظیمات امنیتی کنترلکنندههای دامنه: غیرفعالسازی سرویسهای غیرضروری، اعمال سیاستهای امنیتی مناسب، محدودسازی دسترسیهای مدیریتی و استفاده از مکانیزمهای کنترل دسترسی میتواند سطح حمله (Attack Surface) را کاهش دهد.
در نهایت، بهروزرسانی سریع سیستمهای آسیبپذیر همراه با اعمال کنترلهای امنیتی مناسب، نظارت مستمر بر سرویس Netlogon و مدیریت صحیح دسترسیها، میتواند ریسک سوءاستفاده از این آسیبپذیری و تأثیر آن بر زیرساخت احراز هویت سازمان را به حداقل برساند.
امکان استفاده در تاکتیکهای Mitre Attack (در زمان اجرای حمله)
Reconnaissance (TA0043)
مهاجم پیش از ارسال درخواست مخرب، به شناسایی محیط هدف میپردازد. او با اسکن بلاکهای IP به دنبال کنترل کننده های دامنه در دسترس از طریق اینترنت یا DMZ میگردد. همچنین با ارسال یک درخواست CLDAP بی ضرر، طول نام دامنه DNS را به دست میآورد تا از وجود پیش شرط لازم برای سرریز اطمینان حاصل کند. این اطلاعات برای موفقیت حمله حیاتی است، زیرا طول نام دامنه خود سرور نقش کلیدی در فعال سازی سرریز دارد.
Initial Access (TA0001)
مهاجم با ارسال یک درخواست شبکه ای ویژه به پورت UDP 389 کنترل کننده دامنه، بدون نیاز به احراز هویت، به سیستم دسترسی پیدا میکند. این یک حمله از راه دور (Remote) است و مهاجم نیازی به دسترسی قبلی به سیستم قربانی ندارد. کاربر تنها با کلیک روی یک لینک یا باز کردن یک ایمیل آلوده، نقطه ورود اولیه را برای مهاجم فراهم میکند. . این درخواست که از طریق پروتکل CLDAP ارسال می شود، به گونه ای طراحی شده که تابع BuildSamLogonResponse را با پارامتر NtVer=0x02 فراخوانی کند تا مسیر کد آسیبپذیر فعال شود. . این حمله “Zero-click” نام دارد، زیرا نیازی به تعامل کاربر ندارد و مهاجم می تواند صرفاً با ارسال یک بسته UDP، فرآیند بهره برداری را آغاز کند.
Execution (TA0002)
هسته اصلی آسیب پذیری در این مرحله قرار دارد .با فعالسازی سرریز بافر، مهاجم کد دلخواه را در سطح دسترسی پردازه LSASS اجرا میکند. در صورت موفقیت، این مرحله منجر به اجرای کد با سطح دسترسی SYSTEM میشود.
Privilege Escalation (TA0004)
خود آسیبپذیری سرریز بافر بهعنوان یک مکانیسم افزایش دسترسی عمل میکند و مهاجم را از یک کاربر بدون احراز هویت در سطح شبکه به اجرای کد با دسترسی SYSTEM درون پردازه LSASS ارتقا میدهد.
Impact (TA0040)
بهرهبرداری موفق از این آسیبپذیری منجر به تسخیر کامل کنترلکننده دامنه و در نتیجه، تسلط کامل مهاجم بر زیرساخت Active Directory سازمان میگردد. مهاجم میتواند به تمام اطلاعات حساس دامنه از جمله هشهای رمز عبور تمام کاربران دسترسی یابد، حسابهای جدید با دسترسی مدیریتی ایجاد کند، سیاستهای امنیتی را تغییر دهد و حملات خود را به کل شبکه سازمانی گسترش دهد. در سطح پایهتر، مهاجم میتواند با ازکارانداختن مکرر سرویس LSASS، اختلال گسترده در احراز هویت دامنه ایجاد کرده و موجب ازکارافتادن سرویسهای حیاتی سازمان گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2026-41089
- https://www.cvedetails.com/cve/CVE-2026-41089/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2026-41089
- https://vuldb.com/vuln/363211
- https://github.com/0xBlackash/CVE-2026-41089
- https://nvd.nist.gov/vuln/detail/cve-2026-41089
- https://cwe.mitre.org/data/definitions/121.html
گزارش اثبات آسیبپذیری CVE-2026-41089
اطلاعات آسیبپذیری
عنوان: اجرای کد از راه دور در سرویس Netlogon مایکروسافت ویندوز
شناسه: CVE-2026-41089
وضعیت مشاوره: Security Update / Actively Exploited in the Wild / Patch Available
امتیاز: CVSS: 9.8 (CRITICAL)
محصول: Microsoft Windows Server
محصول / نسخههای آسیبپذیر
در نسخههای زیر:
- Windows Server 2012 (پیش از بیلد 6.2.9200.26079)
- Windows Server 2012 R2 (پیش از بیلد 6.3.9600.23181)
- Windows Server 2016 (پیش از بیلد 10.0.14393.9140)
- Windows Server 2019 (پیش از بیلد 10.0.17763.8755)
- Windows Server 2022 (پیش از بیلد 10.0.20348.5139)
- Windows Server 2022 23H2 Edition (پیش از بیلد 10.0.25398.2330)
- Windows Server 2025 (پیش از بیلد 10.0.26100.32772)
- تمامی نسخههای Server Core مربوط به نسخههای فوق
محیطهای درگیر
- کلیه سرورهای Windows که به عنوان Domain Controller پیکربندی شده اند
- محیط های Active Directory سازمانی در هر اندازه (از SMB تا Enterprise)
- سرورهای Read-Only Domain Controllers (RODC)
- محیط های hybrid که از Windows Server DC ها برای احراز هویت استفاده می کنند
- زیرساخت های حیاتی که به Active Directory وابسته هستند (Exchange، SharePoint، SCCM، SQL Server با Windows Auth)
- سرویس های احراز هویت مبتنی بر Kerberos و NTLM
کامپوننتهای آسیبپذیر
- سرویس Netlogon (پروتکل MS-NRPC — Microsoft Netlogon Remote Protocol)
- فایل netlogon.dll و ماژولهای وابسته در مسیر %SystemRoot%\System32
- رابط RPC مربوط به Netlogon
- پروتکل CLDAP (Connectionless LDAP) روی پورت UDP 389
- توابع مدیریت بستههای شبکه در سرویس Netlogon
ریشه مشکل (Root Cause Analysis)
ریشه اصلی این آسیب پذیری به یک خطای Stack-based Buffer Overflow (CWE-121) در منطق پردازش بسته های سرویس Netlogon باز می گردد. این سرویس مسئول احراز هویت کاربران، اعتبارسنجی Domain Controller ها، و مدیریت روابط اعتماد (trust relationships) در محیط Active Directory است. نقص در توابعی رخ می دهد که درخواست های CLDAP را پردازش می کنند. هنگامی که مهاجم یک درخواست شبکه ای مخرب با طول و ساختار خاص به پورت UDP 389 (یا رابط RPC مربوطه) یک Domain Controller ارسال می کند، بافر پشته ای که برای نگهداری داده های درخواست تخصیص داده شده است، سرریز می شود. این سرریز به مهاجم اجازه میدهد که، Return Address ذخیره شده روی پشته را بازنویسی کند، ROP chain (Return-Oriented Programming) یا shellcode دلخواه را در حافظه تزریق کند و کنترل جریان اجرای برنامه را در context فرآیند lsass.exe (که Netlogon در آن اجرا می شود) به دست بگیرد.
از آنجا که سرویس Netlogon در context حساب NT AUTHORITY\SYSTEM اجرا می شود و دسترسی کامل به پایگاه داده Active Directory (ntds.dit) دارد، موفقیت در بهره برداری عملاً به معنای در اختیار گرفتن کامل Domain است.
وقتی BuildSamLogonResponse این توابع کمکی را به صورت زنجیرهای فراخوانی میکند، هر تابع، داده های خود را در بافر مینویسد، یک cursor مشترک را پیش میبرد و یک terminator دو بایتی L’\0′ می نویسد. فیلد User به تنهایی نمی تواند باعث overflow شود، زیرا توسط باینری به 130 کاراکتر محدود شده است NetpLogonPutUnicodeString(User, 0x82, …). بایت هایی که در واقع cursor را به سمت stack cookie پیش می برند، نام های DNS طولانی خود سرور هستند که مهاجم کنترل مستقیمی روی آنها ندارد.
بخش آسیبپذیر
رفتار ناامن سیستم:
سرویس Netlogon در ویندوز سرور هنگام پردازش درخواست های CLDAP از پروتکل MS-NRPC، بررسی صحیحی روی طول و ساختار داده های ورودی انجام نمی دهد. این نقص باعث می شود که یک بافر پشته ای داخلی سرریز شود و مهاجم بتواند بدون هیچ گونه احراز هویت، کد دلخواه را با سطح دسترسی SYSTEM روی Domain Controller اجرا کند.
نحوه سوءاستفاده مهاجم:
- مهاجم نیازی به هیچ دسترسی اولیه، احراز هویت، یا تعامل کاربر ندارد
- مهاجم فقط باید بتواند به پورت UDP 389 (CLDAP) یا رابط RPC مربوط به Netlogon روی Domain Controller از طریق شبکه دسترسی داشته باشد
- مهاجم یک بسته CLDAP مخرب با ساختار دستکاری شده ایجاد می کند
- بسته را به Domain Controller هدف ارسال می کند
- سرویس Netlogon بسته را پردازش کرده و بافر پشته را سرریز می کند
- مهاجم با استفاده از تکنیک های ROP یا shellcode، کنترل جریان اجرا را به دست می گیرد
- کد دلخواه با سطح دسترسی NT AUTHORITY\SYSTEM در context فرآیند lsass.exe اجرا می شود
- مهاجم اکنون کنترل کامل Domain Controller، کل Active Directory Domain را در اختیار دارد
نقش این آسیبپذیری در زنجیره حمله
این آسیب پذیری یک ابزار اجرای کد از راه دور بدون احراز هویت (Unauthenticated Remote Code Execution) است که به عنوان یکی از خطرناک ترین نقاط ورود به شبکه های سازمانی شناخته می شود. با توجه به نمره CVSS 9.8 (Critical) و عدم نیاز به هیچ پیش نیازی، مهاجم می تواند از خارج از شبکه (در صورت دسترسی به پورت 389 از اینترنت) یا از داخل شبکه (از هر سیستم آلوده) مستقیماً Domain Controller را هدف قرار دهد.
موفقیت در بهره برداری از این آسیب پذیری عملاً به معنای تصاحب کامل هویت سازمانی (Identity Compromise) است و مهاجم میتواند
- KRBTGT hash را استخراج کرده و Golden Ticket بسازد.
این یکی از خطرناک ترین حملات در محیط Active Directory مایکروسافت اشاره دارد، KRBTGT (Kerberos Ticket Granting Ticket) یک حساب کاربری ویژه و سیستمی در Active Directory است که نقش کلیدی در پروتکل احراز هویت Kerberos دارد. Golden Ticket (بلیت طلایی) یک TGT جعلی است که مهاجم با استفاده از KRBTGT hash استخراج شده، خودش می سازد، ویژگیهای خطرناک Golden Ticket شامل این موارد است:
- مهاجم می تواند خود را هر کاربری (حتی Administrator) معرفی کند
- می تواند خود را عضو Domain Admins، Enterprise Admins و… قرار دهد
- می تواند تا ۱۰ سال اعتبار داشته باشد
- چون TGT امضای معتبر دارد، هیچ لاگی تولید نمی کند و حتی اگر DC ریبوت شود یا KRBTGT reset شود (اگر مهاجم hash قدیمی را داشته باشد)، باز هم دسترسی های مربوطه را خواهد داشت
به صورت خلاصه، KRBTGT hash مانند کلید اصلی گاوصندوق یک سازمان است. اگر مهاجم این کلید را بدزدد، می تواند هر بلیت ورودی (Golden Ticket) که بخواهد بسازد و به تمام اتاق ها (سرورها، فایل ها، سرویس ها) دسترسی داشته باشد. بدون اینکه کسی متوجه شود.
- مهاجم می تواند تمام اعتبارنامه های ذخیره شده در ntds.dit را استخراج کند
- مهاجم می تواند Domain Admin های جدید ایجاد کند
- مهاجم می تواند GPO ها را برای استقرار بدافزار در تمام سیستم های Domain-joined دستکاری کند
Group Policy Object (GPO) یک مکانیزم مرکزی در Active Directory است که به ادمین ها اجازه می دهد سیاست ها و تنظیمات را به صورت خودکار روی تمام سیستم های دامین اعمال کنند. مثالها:
- نصب نرم افزار روی تمام کامپیوترها
- اجرای اسکریپت هنگام روشن شدن سیستم (Logon Script)
- تنظیمات فایروال و آنتی ویروس
با توجه به توانایی های ذکر شده، پیامد ها شامل:
- استقرار خودکار بدافزار، بدافزار روی تمام هزاران سیستم دامین در عرض چند دقیقه نصب می شود
- غیرفعال کردن امنیت، آنتی ویروس، فایروال و Windows Defender روی تمام سیستم ها غیرفعال می شوند
- ایجاد Backdoor دائمی، یک حساب کاربری مخفی با دسترسی Administrator روی تمام سیستم ها ایجاد می شود
- غیرقابل ردیابی، چون GPO از طریق مکانیزم قانونی Active Directory اعمال می شود، بسیاری از ابزارهای امنیتی آن را تشخیص نمی دهند
- تداوم دسترسی، حتی اگر مهاجم از سیستم خارج شود، GPO مخرب همچنان فعال است
- مهاجم می تواند Trust relationships را برای گسترش حمله به سایر Forest ها یا Domain ها سوء استفاده کند
در محیط های سازمانی بزرگ، معمولاً چندین Domain یا Forest وجود دارد که با هم ارتباط دارند. Trust Relationship یک قرارداد امنیتی بین دو Domain/Forest است که به کاربران یک Domain اجازه می دهد به منابع Domain دیگر دسترسی داشته باشند. اگر مهاجم یک Domain را تصاحب کند، می تواند از Trust Relationship برای گسترش حملات زیر استفاده کند:
- SID History Abuse: مهاجم می تواند SID های کاربران Domain دیگر را به حساب های خود اضافه کند و به منابع آن ها دسترسی پیدا کند.
- Trust Key Extraction: مهاجم کلید رمزنگاری Trust را استخراج می کند و TGT های جعلی برای Domain های دیگر می سازد.
- Cross-Forest Attack: از یک Forest به Forest دیگر (مثلاً از شرکت اصلی به شرکت همکار) حرکت می کند.
- Parent-Child Domain Attack: از Domain فرزند به Domain والد (و بالعکس) حرکت می کند.
در نتیجه، تصاحب یک Domain برابر است با تصاحب تمام Domain های مرتبط. حمله از یک شرکت به شرکت های همکار، مشتریان، یا زیرمجموعه ها گسترش می یابد.
- مهاجم می تواند Certificate Authority سازمانی را به خطر بیندازد (ESC attacks)
ESC مخفف Escalation, Subordination, and Compromise است. این یک دسته از آسیبپذیری ها در Active Directory Certificate Services (AD CS) است که توسط محققان SpecterOps کشف شده است.
پیشنیازهای بهرهبرداری (Prerequisites)
- سرور هدف باید به عنوان Active Directory Domain Controller پیکربندی شده باشد
- پورت UDP 389 (CLDAP) یا رابط RPC سرویس Netlogon از محل مهاجم قابل دسترسی باشد
- استفاده از نسخه آسیب پذیر Windows Server
- عدم نصب وصله امنیتی روی Domain Controller هدف
- نبود محدودیت های شبکه ای مانند فایروال که دسترسی به Netlogon را از منابع غیرقابل اعتماد مسدود کند
رفتار مورد انتظار در حالت امن (Expected Secure Behavior)
- سرویس Netlogon باید قبل از پردازش هر درخواست، اعتبارسنجی کامل طول و ساختار داده ها را انجام دهد
- بافرهای پشته باید با استفاده از مکانیزم های محافظتی مانند Stack Canaries (/GS)، ASLR و DEP محافظت شوند
- سرویس Netlogon باید در صورت تشخیص درخواست های مخرب، آن ها را بدون crash یا اجرای کد رد کند
- دسترسی به پورت های حساس DC (مانند UDP 389، TCP 135، TCP 445) باید فقط از منابع قابل اعتماد شبکه مجاز باشد
- لاگ برداری از رویدادهای Netlogon (Event ID 5800-5899) باید فعال و به SIEM ارسال شود
- اصل Fail Secure، در صورت تشخیص داده هایی با طول غیرمجاز، درخواست باید بلافاصله با خطا رد شود و هیچ داده ای در بافر کپی نشود
- سازمان ها باید از مکانیزم های Protected Users Group و Authentication Silos برای محدود کردن سطح حمله استفاده کنند
راهکارها و کاهش ریسک (Mitigation / Patch Guidance)
اقدامات فوری برای کاهش ریسک:
- به روزرسانی فوری تمام Domain Controller ها
- نصب پچ های امنیتی روی تمام DC ها
اقدامات کوتاهمدت / میانمدت برای کاهش ریسک:
- محدودسازی دسترسی شبکه ای به Domain Controller ها
- بررسی سلامت Replication قبل و بعد از patch کردن
- اعتبارسنجی سلامت سرویس ها پس از patch
اقدامات بلندمدت برای کاهش ریسک:
- تدوین سیاست Patch Management خودکار برای تمام Domain Controller ها
- پیاده سازی Tiered Administration Model (مدل مدیریتی لایه ای مایکروسافت) برای محافظت از DC ها
- فعال سازی Protected Users Group برای حساب های حساس
- استقرار Authentication Silos و Authentication Policies برای محدود کردن احراز هویت
- مانیتورینگ پیشرفته با Microsoft Defender for Identity (MDI)
- حفاظت از حساب های Break-glass و نگهداری آن ها در محیط آفلاین
- تست منظم Disaster Recovery برای بازیابی Active Directory از backup
- پیاده سازی فرآیندهای منظم تست نفوذ (Penetration Testing) و ارزیابی امنیتی برای کشف زودهنگام آسیب پذیری های مشابه در زیرساخت
تشخیص و مانیتورینگ (Detection & Monitoring)
نشانههای تلاش برای سوءاستفاده:
- Crash های غیرمنتظره سرویس Netlogon (Event ID 7031 یا 7034 در System Log)
- ترافیک غیرعادی CLDAP از منابعی که DC نیستند (به ویژه از ایستگاه های کاری یا سرورهای غیرمرتبط)
- افزایش ناگهانی احراز هویت های ناموفق (Event ID 4625) پس از فعالیت مشکوک شبکه
- تغییرات غیرمجاز در Active Directory پس از دسترسی مشکوک (ایجاد کاربران جدید، تغییر GPO ها، تغییر group memberships)
- رویدادهای Event ID 5800-5899 (Netlogon events) با الگوهای غیرعادی
- فعالیت مشکوک روی پورت UDP 389 از IP های خارجی یا segment های غیرمجاز
منابع پیشنهادی برای مانیتورینگ و پایش:
- Windows Event Logs روی DC ها (Security، System، Directory Service، Netlogon)
- سیستم های SIEM برای جمع آوری و تحلیل مرکزی لاگ ها
- Microsoft Defender for Identity (MDI) برای شناسایی رفتارهای مشکوک مرتبط با AD
- Netflow analyzers برای شناسایی ترافیک غیرعادی به پورت UDP 389
- EDR (Endpoint Detection and Response) روی تمام DC ها
- Network IDS/IPS (مانند Snort، Suricata) با signatures اختصاصی برای Netlogon RCE
- Microsoft Advanced Threat Analytics (ATA) یا راهکارهای مشابه
واکنش به حادثه (Incident Response)
- ایزوله سازی فوری Domain Controller های مشکوک از شبکه
- بررسی سلامت Replication بین DC ها و شناسایی DC های آلوده
- بازنشانی فوری KRBTGT password (دو بار متوالی) برای بیاعتبار کردن Golden Tickets احتمالی
- بازنشانی تمام رمزهای عبور Domain Admin و حساب های حساس
- بررسی کامل ntds.dit برای شناسایی کاربران یا گروه های غیرمجاز
- بازبینی GPO ها برای شناسایی تغییرات مخرب
- بررسی کامل لاگ های 90 روز گذشته برای شناسایی زمان شروع نفوذ
- اسکن تمام سیستم های Domain-joined برای شناسایی backdoors یا persistence mechanisms
- راه اندازی مجدد Forest Recovery در صورت آلودگی گسترده (با استفاده از backup های سالم پیش از نفوذ)
- مستندسازی کامل حادثه (زمان وقوع، نشانهها، اقدامات انجامشده، درسآموختهها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)
جریان حمله (Attack Flow)
در نمودار زیر (شکل ۱)، مهاجم از طریق شبکه به پورت UDP 389 (CLDAP) یک Domain Controller آسیبپذیر دسترسی پیدا می کند. مهاجم ابتدا با ارسال درخواست های CLDAP با NtVer = 0x02 (نه 0x16)، مسیر کد به تابع آسیبپذیر BuildSamLogonResponse را فعال می کند. مهاجم با استفاده از ابزار تشخیص غیرمخرب longlogon.py، بررسی میکند که آیا طول نام دامنه DC هدف به اندازه ای هست که پیش شرط سرریز بافر (حداقل 98 کاراکتر) برقرار باشد یا خیر. پس از تأیید آسیب پذیری، مهاجم یک درخواست CLDAP مخرب با فیلد User طولانی و ساختار دستکاری شده ایجاد می کند. بسته به سرویس Netlogon روی DC ارسال می شود. تابع NetpLogonPutUnicodeString هنگام نوشتن terminator دو بایتی L’\0′ بدون بررسی فضای بافر، بافر پشته 528 بایتی را سرریز می کند. مهاجم با استفاده از تکنیک های ROP و Return Address، __security_cookie را بازنویسی کرده و کنترل جریان اجرا را در context پردازه lsass.exe به دست می گیرد. کد shellcode مهاجم با سطح دسترسی NT AUTHORITY\SYSTEM اجرا می شود. مهاجم کنترل کامل Domain Controller و Active Directory را به دست می آورد و می تواند KRBTGT hash را استخراج کرده و Golden Ticket بسازد.
شکل 1: جریان اجرای آسیب پذیری
اثبات مفهوم (PoC) — کاملاً غیرمخرب
آزمایشگاه تخصصی Vulnerbyte، این آسیبپذیری را در محیط ایزوله و کنترلشده با استفاده از نسخه آسیبپذیر بررسی و اجرا کرده است
- این آزمایشگاه شامل نسخه یک Active Directory Domain با Domain Controller زیر است:
- DC: Windows Server 2022 (آسیب پذیر)
- نام دامنه: advancedtechnol.research.innovation.tech.corp.local (طول 98+ کاراکتر برای فعال سازی پیش شرط سرریز)
- اجرای اسکریپت longlogon.py با دستور زیر: (این ابزار صرفاً بررسی می کند که آیا پیش شرط سرریز بافر (طول نام دامنه) برقرار است یا خیر، بدون اینکه هیچگونه crash یا overflow ایجاد کند)
python3 longlogon.py 192.168.180.12 globaldepartmentofengineeringresearchandinnovation.advancedtechnol.research.innovation.tech.corp.localخروجی اسکریپت longlogon.py:
[+] DC: 192.168.180.12
[+] Domain: globaldepartmentofengineeringresearchandinnovation.advancedtechnol.research.innovation.tech.corp.local
[+] NtVer: 0x02 (legacy BuildSamLogonResponse path)
[+] Buffer fill analysis:
- DNS Forest Name: 72 chars
- Domain Name: 98 chars
- Host Name: 7 chars
- Total: 177 chars (exceeds 264-char buffer with terminators)
[!] PRECONDITION MET: Domain is long enough to trigger overflow on unpatched DC
[!] This DC would crash with STATUS_STACK_BUFFER_OVERRUN (0xc0000409)
- اجرای PoC در محیط آزمایشگاهی منجر به تشخیص آسیب پذیر بودن سامانه آسیبپذیر شد
- این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمیشود
شکل 2: اجرای POC
رفع مسئولیت
این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوبهای قانونی از محتوای آن ممنوع است.
منابع
https://www.cve.org/CVERecord?id=CVE-2026-41089
https://nvd.nist.gov/vuln/detail/CVE-2026-41089
https://cwe.mitre.org/data/definitions/121.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089
https://github.com/hnytgl/CVE-2026-41089
https://github.com/0xBlackash/CVE-2026-41089
https://github.com/ADScanPro/CVE-2026-41089-LongLogon
https://adscanpro.com/blog/patch-diffing-cve-2026-41089-netlogon
Windows Server Netlogon
CVE-2026-41089 – Windows Netlogon Remote Code Execution Vulnerability
Affects
- Windows Netlogon (core authentication service in Active Directory environments)
- Versions:
- Windows Server 2012 through Windows Server 2025 (
including Server 2022 23H2)
- Windows Server 2012 through Windows Server 2025 (
- Components:
- Windows Netlogon Remote Protocol (MS-NRPC)
- CLDAP (Connectionless LDAP) query handler
- Files:
NlGetLocalPingResponsefunction handling CLDAP queries
- Functions:
BuildSamLogonResponseNetpLogonPutUnicodeString
Description
CVE-2026-41089 is a critical, zero-click remote code execution vulnerability in the Windows Netlogon service, actively exploited in the wild since its discovery .
The vulnerability is a stack-based buffer overflow that resides in the way the Netlogon service processes CLDAP (Connectionless LDAP) queries sent to port UDP 389 on domain controllers . The root cause is a length calculation confusion between bytes and WCHAR (wide characters) within the NlGetLocalPingResponse function .
When the service processes a crafted CLDAP request, the BuildSamLogonResponse and NetpLogonPutUnicodeString functions handle attacker-controlled fields (such as usernames) and copy data into a 528-byte stack buffer . Due to the size miscalculation, the buffer overflows, allowing an attacker to overwrite critical memory locations and execute arbitrary code with SYSTEM privileges .
Key characteristics:
- No authentication required – Attackers do not need credentials
- No user interaction required – Zero-click exploitation
- No local access required – Exploitable over the network
- Critical severity – CVSS 9.8
- CWE-121 – Stack-based Buffer Overflow
Attack Vector
Primary Attack Vector:
Remote / Unauthenticated (Network Access to UDP Port 389)
Attack Scenario:
- An attacker gains network access to a domain controller (potentially from inside the network perimeter or via an exposed server)
- The attacker sends a specially crafted CLDAP network request to the target domain controller’s UDP port 389
- The Netlogon service processes the request, triggering the stack buffer overflow
- The attacker executes arbitrary code on the domain controller with SYSTEM privileges
- With domain controller access, the attacker can:
- Extract domain credentials (DCSync attack)
- Forge Golden Tickets
- Move laterally across the entire network
- Establish persistent access
- Deploy ransomware
Key Characteristics:
| Attribute | Details |
|---|---|
| Attack Vector | NETWORK |
| Attack Complexity | LOW |
| Privileges Required | NONE |
| User Interaction | NONE |
| Scope | UNCHANGED |
| Exploit Availability | Public PoC available |
| Active Exploitation | Confirmed in the wild |
Historical Context:
- Discovered by: Microsoft’s internal WARP (Offensive Research) team
- Unlike Zerologon (CVE-2020-1472): CVE-2020-1472 only enabled privilege escalation; CVE-2026-41089 provides direct remote code execution with a shorter exploitation chain
Impact
Successful exploitation allows an unauthenticated remote attacker to:
- Execute arbitrary code on the domain controller with SYSTEM privileges
- Completely compromise the Active Directory domain
- Extract all domain credentials via DCSync attacks
- Forge authentication tokens (Golden Ticket / Silver Ticket attacks)
- Move laterally across the entire enterprise network
- Deploy ransomware or other malware
- Establish persistent backdoors at the domain level
| Impact Area | Level | Description |
|---|---|---|
| Confidentiality | HIGH | Full domain credential access |
| Integrity | HIGH | Complete control over Active Directory |
| Availability | HIGH | Potential to disrupt entire domain |
“Wormable” Potential:
- Automated scanning and exploitation tools can spread the vulnerability across networks
- Interest from ransomware gangs, APT groups, and initial access brokers
Observed Exploitation & Threat Activity
- Public Disclosure: May 12, 2026 (Microsoft Patch Tuesday)
- CVE Assignment: May 12, 2026
- Active Exploitation Confirmed: Yes – confirmed by CCB (Centre for Cybersecurity Belgium) and CSIRT Panama
- Public PoC: Available on the internet
- CVSS Score: 9.8 (Critical)
Disclosure Timeline:
| Date | Event |
|---|---|
| May 12, 2026 | Microsoft releases patch (Patch Tuesday) |
| May 12, 2026 | CVE-2026-41089 publicly disclosed |
| By June 1, 2026 | CCB confirms active exploitation in the wild |
| June 2026 | Technical details and PoC publicly released |
Threat Actor Interest:
- Ransomware groups
- APT (Advanced Persistent Threat) actors
- Initial Access Brokers (IABs)
Severity & Metrics
- CVSS v3.1: Critical (9.8)
- Attack Vector: NETWORK
- Attack Complexity: LOW
- Privileges Required: NONE
- User Interaction: NONE
- Scope: UNCHANGED
- Confidentiality Impact: HIGH
- Integrity Impact: HIGH
- Availability Impact: HIGH
Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Relevant CWE:
- CWE-121 – Stack-based Buffer Overflow
Patch & Vendor Status
- Official Patches Available: Yes – released May 12, 2026 (Microsoft Patch Tuesday)
- CISA KEV Catalog: The vulnerability is likely to be added, given confirmation of active exploitation
- Check Point IPS Protection: CPAI-2026-4499 – “Microsoft Windows Netlogon Remote Code Execution”
Fixed Versions by Build Number:
| Windows Server Version | Minimum Patch Level |
|---|---|
| Windows Server 2012 | 6.2.9200.26079 or later |
| Windows Server 2012 R2 | 6.3.9600.23181 or later |
| Windows Server 2016 | 10.0.14393.9140 or later |
| Windows Server 2019 | 10.0.17763.8755 or later |
| Windows Server 2022 | 10.0.20348.5074 or later (or 10.0.20348.5139) |
| Windows Server 2022 23H2 | 10.0.25398.2330 or later |
| Windows Server 2025 | 10.0.26100.32772 or later (10.0.26100.32860 also patched) |
Mitigation & Remediation
Immediate Actions
| Action | Method |
|---|---|
| Apply May 2026 Windows Updates | Install the latest cumulative updates from Microsoft Patch Tuesday (May 12, 2026) |
| Prioritize Domain Controllers | Domain controllers are the primary attack targets – patch them first |
| Review Network Exposure | Ensure domain controllers are not directly exposed to the internet |
| Restrict UDP 389 Access | If patching is delayed, limit access to UDP port 389 to trusted management networks |
Microsoft Statement:
“We recommend customers follow CVE-2026-41089 guidance and install the latest security updates for unpatched systems to protect against this vulnerability.”
Defensive Measures
- Segment Active Directory environments – Isolate domain controllers in dedicated management VLANs
- Deploy LAPS (Local Administrator Password Solution) and Privileged Access Management
- Monitor Netlogon-related logs – Focus on Event ID 5805 and 4624
- Update IDS/IPS signatures – Implement detection rules for anomalous Netlogon traffic
- Deploy network segmentation – Reduce the attack surface exposed to untrusted networks
- Consider krbtgt password rotation – As a post-mitigation precaution in high-risk environments
Detection & Monitoring
Recommended Detection Sources:
| Source | Purpose |
|---|---|
| Check Point IPS | Provides signature CPAI-2026-4499 for detection and prevention |
| Security Information and Event Management (SIEM) | Centralize Netlogon and authentication logs |
| Event IDs | Monitor 5805 (Netlogon authentication failures) and 4624 (logon events) |
| lsass.exe monitoring | Watch for unusual access patterns to the LSASS process |
Indicators of Attempted Exploitation:
- Unusual CLDAP queries targeting UDP port 389
- Abnormal Netlogon traffic patterns from unexpected source IPs
- Unexpected domain controller crashes or service instability
- Suspicious process creation from Netlogon service context
- Unusual authentication patterns following system restarts
Detection Strategy:
- Inventory all domain controllers across your environment
- Check patch levels on all Windows Server instances:
systeminfo | findstr /i "KB" - Monitor for exploitation attempts via:
- Network intrusion detection systems
- Security Information and Event Management (SIEM) alerts
- Endpoint Detection and Response (EDR) tools
- Maintain network segmentation to limit attacker access to UDP port 389
If your domain controllers were exposed pre-patch, treat them as compromised and rotate all privileged credentials immediately.
Post-Incident Response
If exploitation is suspected or confirmed:
- Isolate affected domain controller from the network immediately
- Preserve forensic evidence (system logs, network captures, memory dumps)
- Immediately rotate the krbtgt account password twice (once to invalidate current tickets, once to set a new secure value)
- Rotate all privileged credentials (domain admin, service accounts, and other sensitive accounts)
- Reset machine account passwords for all domain controllers
- Audit for persistence mechanisms (scheduled tasks, services, backdoor accounts)
- Assume full domain compromise – Do not attempt to “clean” the system without rebuilding
- Rebuild compromised domain controllers from trusted, clean media after patching
- Monitor all network activity from compromised systems for signs of lateral movement
- Report to relevant CSIRT/CERT authorities as required
For Enterprise Environments:
- Apply patches through enterprise deployment tools immediately
- Block traffic to known malicious IPs
- Review all domain controllers for compliance
- Document the incident timeline and indicators for reporting
References
- https://cow-prod-www-v3.azurewebsites.net/publications/security-advisories/2026-007/
- https://kudelskisecurity.com/research/windows-netlogon-stack-buffer-overflow-cve-2026-41089
- https://advisories.checkpoint.com/defense/advisories/public/2026/cpai-2026-4499.html
- https://cert.pa/?p=5072&csrt=9703740873827651913
- https://www.securityweek.com/critical-windows-netlogon-vulnerability-in-attackers-crosshairs/
- https://vuldb.com/cve/CVE-2026-41089
- https://cwe.mitre.org/data/definitions/121.html
بررسی آماری آسیب پذیری CVE-2026-41089 در کشور ایران
محصول آسیب پذیر: سرویس Netlogon در ویندوز سرور
میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول
با توجه به اینکه این آسیب پذیری صرفاً بر روی سرورهای فعال به عنوان کنترلکننده دامنه (Domain Controller) تأثیر می گذارد، مهم است به نقش محوری این سرورها در شبکه های سازمانی اشاره کنیم. سرویس Netlogon وظیفه احراز هویت کاربران و دستگاه ها را در شبکه های مبتنی بر دامنه بر عهده دارد و در قلب هر سازمانی که از اکتیو دایرکتوری (Active Directory) استفاده می کند، قرار دارد. با توجه به اینکه ویندوز سرور سهم غالب بازار سرورهای سازمانی را در ایران دارد، به نظر میرسد که اکثر سازمان های دولتی، بانک ها، شرکت های بزرگ و دانشگاه های کشور از این زیرساخت استفاده می کنند. بر اساس داده های StatCounter در می ۲۰۲۶، سیستم عامل ویندوز با سهم 25.13% از بازار دسکتاپ در ایران، بستر غالب کاربران نهایی را تشکیل می دهد که این خود نشان دهنده وابستگی گسترده به اکوسیستم مایکروسافت در کشور است.
میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)
تعداد در زمان نگارش گزارش
|
موتور جستجو |
Dork |
تعداد |
| site:.ir “Active Directory” “Domain Controller” | 2,410 | |
| site:.ir “Windows Server” “Domain Controller” | 1,350 | |
| site:.ir “اکتیو دایرکتوری” “Domain Controller” | 541 | |
| Shodan | country:”IR” os:”Windows Server” | 4,840 |
| Shodan | country:”IR” port:445 | 2,481 |
| Shodan | country:”IR” port:135 | 2,787 |
| Shodan | country:”IR” port:389 | 269 |
وجود نمایندگی در ایران
شرکت مایکروسافت (Microsoft) دفتر رسمی یا نمایندگی مستقیم در ایران ندارد. بهروزرسانی های امنیتی این شرکت (مانند وصله های Patch Tuesday) از طریق سرویس های آنلاین مانند Windows Update و Microsoft Update در دسترس هستند که کاربران ایرانی نیز به آنها دسترسی دارند. هیچ گونه پشتیبانی رسمی از طرف شرکت سازنده در کشور وجود ندارد.
میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران
اگرچه آمار رسمی و دقیقی از تعداد سیستمهای آسیبپذیر در ایران وجود ندارد، اما شواهد زیر نشاندهنده سطح قابل توجه ریسک است.
- کاربرد حیاتی Active Directoryدر ایران: تقریباً تمام سازمان های بزرگ و متوسط در ایران که از شبکه های مبتنی بر ویندوز استفاده می کنند، برای مدیریت کاربران، رایانه ها و دسترسی ها، از اکتیو دایرکتوری و سرویس Netlogonاستفاده می کنند. این سازمان ها شامل بانک ها، شرکت های دولتی، دانشگاه ها، بیمارستان ها و شرکت های خصوصی بزرگ می شوند. هر یک از این سازمان ها حداقل یک یا چند سرور کنترل کننده دامنه (Domain Controller) دارند که به طور بالقوه در معرض این آسیب پذیری قرار دارند.
- تخمین میزان استفاده: تخمین دقیق تعداد کنترلکننده های دامنه در ایران دشوار است، اما با در نظر گرفتن تعداد سازمان های بزرگ و متوسط در کشور، می توان گفت که دست کم چند هزار سرور با این پیکربندی در ایران فعال هستند و همگی در معرض این آسیب پذیری قرار دارند. این موضوع به دلیل ماهیت «روز صفر» (Zero-Day) یا در حال بهره برداری این آسیب پذیری، یک هشدار امنیتی سطح بالا محسوب میشود.
