Windows DNS Client Ranjivost (CVE-2026-41096)

Šta je DNS Client servis?

DNS (Domain Name System) Client servis (dnscache) je ugrađena Windows komponenta koja radi u pozadini svakog Windows operativnog sistema (od Windows 10/11 do Windows Server izdanja). Njegov zadatak je da razrešava nazive domena (npr. google.com) u IP adrese i da te rezultate privremeno čuva u keš memoriji kako bi se ubrzao mrežni saobraćaj.

Anatomija napada (Kako funkcioniše propust?)

Ova ranjivost je klasifikovana kao heap-based buffer overflow unutar koda koji parsira dolazne DNS odgovore.

Inicijacija: Da bi napao klijentski računar ili server, napadač mora da navede žrtvu da pošalje DNS upit ka serveru koji je pod kontrolom napadača. To se može postići jednostavnim slanjem emaila sa skrivenom slikom čiji je link na malicioznom domenu, ili navođenjem korisnika da klikne na link.

Odgovor: Kada Windows DNS Client pošalje upit, napadačev maliciozni DNS server vraća specifično skrojen, abnormalan DNS odgovor (npr. sa ekstremno dugim ili neispravnim zapisima u TXT ili SRV poljima).

Prelivanje: Prilikom obrade ovog odgovora, mehanizam za parsiranje unutar Windowsa pogrešno računa veličinu potrebnog memorijskog prostora. Dolazi do prelivanja bafera na gomili (heap), čime se prepisuju susedne lokacije u memoriji sistema.

Izvršavanje koda (RCE): Pažljivo strukturisanim prelivanjem, napadač preuzima kontrolu nad tokom izvršavanja i pokreće sopstveni maliciozni kod u kontekstu visokih sistemskih privilegija (SYSTEM ili Network Service), bez potrebe da zna ijednu lozinku na ciljanoj mašini.

2. Windows Netlogon Ranjivost (CVE-2026-41089)

Šta je Netlogon protokol?

Netlogon je fundamentalni Windows Server servis koji se pokreće na Domenskim Kontrolerima (Active Directory Domain Controllers). On je odgovoran za kontinuiranu autentifikaciju korisnika i računara unutar domena. Kad god se prijavljujete na poslovni računar, menjate lozinku unutar mreže ili uspostavljate poverenje (trust relationship) između dva različita Active Directory domena, Netlogon radi u pozadini i proverava te akreditive.

Anatomija napada (Zašto je kritična za Active Directory?)

Za razliku od DNS Client-a koji pogađa pojedinačne mašine koje šalju upite, ova ranjivost cilja samo „srce“ mreže – Domenski Kontroler. Radi se o stack-based buffer overflow propustu unutar samog Netlogon protokola.

Vektor napada: Napadač se pozicionira unutar lokalne mreže (ili preko kompromitovanog VPN-a) i šalje direktne, maliciozne Netlogon RPC (Remote Procedure Call) zahteve ka Domenskom Kontroleru.

Izostanak autentifikacije: Najopasniji aspekt ove ranjivosti je to što napadač ne mora biti ulogovan niti posedovati važeći korisnički nalog u domenu da bi poslao ove zahteve. Ranjivi Netlogon kod pokušava da obradi maliciozni mrežni paket pre nego što uopšte proveri ko ga šalje.

Prelivanje steka: Paket je dizajniran tako da prepuni fiksni bafer na steku (stack) unutar memorije Netlogon servisa.

Preuzimanje domena: Uspešnim izvršavanjem koda kroz ovaj propust, napadač momentalno dobija SYSTEM privilegije na samom Domenskom Kontroleru. U Active Directory svetu, ovo je ekvivalentno “zlatnom ključu” – napadač postaje apsolutni administrator celokupne mreže, može da kreira nove naloge, ukrade bazu lozinki (ntds.dit) ili zaključa celu infrastrukturu ransomware-om.

Tabela Upoređivanja: DNS Client vs. Netlogon

Koje akcije administrator mora preduzeti?

Budući da su oba servisa ključna za svakodnevno funkcionisanje Windows okruženja, njihovo gašenje nije opcija (onemogućavanje DNS klijenta bi prekinulo internet i mrežnu komunikaciju, dok bi gašenje Netlogona srušilo Active Directory domen).

1. Primena Microsoft Hotpatching-a

Microsoft je od ovog meseca uveo podrazumevani hotpatching za podržane verzije Windows Servera. To znači da se zakrpe za Netlogon i DNS Client mogu primeniti direktno u memoriji bez potrebe za restartovanjem produkcionih servera, čime se eliminiše prekid u radu (downtime).

2. Mrežna segmentacija (Privremena zaštita)

Ako zakrpe ne mogu biti instalirane odmah:

Za Netlogon: Strogo ograničite pristup portovima koje koristi Netlogon/RPC (kao što su portovi 135 i dinamički RPC opseg 49152-65535) tako da im mogu pristupiti samo provereni uređaji iz administratorskih i serverskih VLAN-ova. Blokirajte ove portove na spoljnim firewall barijerama i za opšte korisničke segmente gde to nije neophodno.

Za DNS: Konfigurišite interne DNS servere i klijente da koriste isključivo bezbedne, verifikovane uzvodne (upstream) DNS resolvire koji imaju sopstvene mehanizme filtriranja malicioznih odgovora.