概述
近日,微软发布安全更新修补了位于Windows Netlogon服务中的基于栈的缓冲区溢出高危漏洞,CVE编号为CVE-2026-41089。当活动目录域控制器在处理无连接轻量级目录访问协议(CLDAP)的搜索请求时,其DC定位器ping响应句柄未对数据边界进行有效检查,导致远程未授权的攻击者可以通过向目标域控制器的UDP 389端口发送单个精心构造的CLDAP数据包,直接引发本地安全机构子系统服务(LSASS)进程崩溃,并迫使域控制器发生强制重启。该漏洞的成功触发具有特定前置条件,即目标域控制器必须配置有较长的DNS域名(50个字符以上)。
受影响的系统版本
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
备注:虽然所有的Windows系统均有包含漏洞的netlogon.dll,但实际受影响的系统需要被配置为域控服务器
漏洞基本信息
| 字段 | 内容 |
|---|---|
| 编号 | CVE-2026-41089 |
| 影响 | 拒绝服务 |
| 严重等级 | 严重 |
| CVSS分数(v3.1) | 9.8(基础评价) |
防范建议
- 微软已发布相关安全更新,建议用户及时安装补丁修复该漏洞
- 在防火墙或安全策略中严格限制外部互联网资产对域控制器UDP 389端口(CLDAP)的直接访问,仅允许受信任的内部网络或受控客户端进行通信。
参考资料
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-41089
- https://nvd.nist.gov/vuln/detail/CVE-2026-41089
- https://aretiq.ai/research/vul260513-cve-2026-41089-microsoft-windows-netlogon-buildsamlogonresponse-stack-based-buffer-overflow-rce/