U sklopu paketa sigurnosnih ažuriranja za maj 2026. godine, Microsoft je javnosti otkrio i sanirao jednu od najopasnijih klijentskih ranjivosti u novijoj istoriji operativnog sistema Windows. Ranjivost, identifikovana kao CVE-2026-41096, pogađa ugrađeni Windows DNS klijent – komponentu koja se nalazi na gotovo svakom aktivnom Windows računaru i serveru na svijetu. Sa dodijeljenom kritičnom ocjenom ozbiljnosti od 9.8 prema CVSS v3.1 standardu, ova ranjivost omogućava napadačima udaljeno izvršavanje koda (engl. Remote Code Execution – RCE). Ono što ovu prijetnju čini posebno alarmantnom jeste činjenica da za njeno izvršenje nije potrebna nikakva interakcija korisnika niti prethodna autentifikacija na ciljanom sistemu. Tehnička pozadina: Kako funkcioniše CVE-2026-41096? Da bi se razumio intenzitet ove ranjivosti, potrebno je analizirati ulogu DNS (engl. Domain Name System) klijenta. Svaki put kada korisnik posjeti web stranicu, uspostavi VPN vezu ili kada operativni sistem provjerava dostupnost ažuriranja softvera, Windows koristi dinamičku biblioteku koda pod nazivom dnsapi.dll. Ova komponenta šalje upite DNS serverima i obrađuje odgovore kako bi prevela ljudima razumljive nazive domena (npr. google.com) u IP adrese. Ranjivost CVE-2026-41096 klasifikovana je kao prekoračenje bafera na hipu (engl. Heap-based Buffer Overflow), pod sistemskom oznakom slabosti CWE-122. Do propusta dolazi u kodu unutar dnsapi.dll koji je zadužen za alokaciju memorije prilikom prihvatanja pristiglih DNS odgovora. Kada ranjivi sistem pošalje standardni DNS upit, napadač može presresti taj zahtjev ili kompromitovati DNS resolver te nazad poslati specijalno modifikovan (maliciozan) DNS odgovor. Zbog greške u validaciji dužine ulaznih podataka, Windows DNS klijent pogrešno izračunava granice memorijskog prostora (bafera) na hipu. Maliciozni paket prepisuje susjedne memorijske lokacije, što napadaču omogućava da naruši integritet memorije procesa i ubaci sopstveni izvršni kod. Vektori napada i scenariji eksploatacije Budući da se DNS saobraćaj odvija neprekidno i automatski u pozadini svakog modernog operativnog sistema, prostor za eksploataciju ove ranjivosti je ogroman. Napadač može aktivirati ovaj propust kroz nekoliko kritičnih scenarija: Kompromitovani lokalni usmjerivači (Ruteri) i javni Wi-Fi: Ako se korisnik poveže na nepouzdanu ili hakovanu javnu Wi-Fi mrežu (npr. u kafiću ili na aerodromu), napadač koji kontroliše ruter ili lokalni DNS server može poslati lažne DNS odgovore direktno na žrtvin računar i preuzeti kontrolu nad njim. Trovanje DNS keša (DNS Cache Poisoning): Napadači mogu ciljati korporativne DNS resolvere ili DNS servere internet provajdera (ISP). Unošenjem malicioznih zapisa u keš memoriju tih servera, svi klijenti unutar mreže koji pošalju upit za otrovani domen automatski postaju žrtve klijentskog prekoračenja bafera. Zlonamjerni javni DNS serveri: Korisnici koji ručno konfigurišu svoje sisteme da koriste neprovjerene ili maliciozne javne DNS servere direktno se izlažu riziku da im server pošalje payload (zlonamjerni kod) umjesto legitimne IP adrese. Uticaj na poslovanje i radijus eksplozije (Blast Radius) Ukoliko napadač uspješno iskoristi CVE-2026-41096, posledice po pogođeni sistem su apsolutne. S obzirom na to da DNS klijent radi sa visokim sistemskim privilegijama, uspješno izvršavanje koda omogućava napadaču da: Ostvari potpunu administrativnu kontrolu nad operativnim sistemom. Neovlašteno pristupi, preuzme ili obriše osjetljive podatke (krađa intelektualnog vlasništva, kredencijala i ličnih podataka). Instalira zlonamjerni softver, poput ransomware-a ili alata za trajni udaljeni pristup (RAT). Lateralno se kreće kroz korporativnu mrežu: Jednom kada je jedna radna stanica unutar kompanije kompromitovana, napadač može koristiti taj sistem kao odskočnu dasku za skeniranje i napad na interne servere, baze podataka i kontrolere domena. Opseg pogođenih sistema obuhvata sve moderne verzije operativnog sistema Windows koje koriste ranjivu verziju dnsapi.dll, uključujući klijentske sisteme Windows 11 i serverske platforme Windows Server 2022 i Windows Server 2025. Procjena vjerovatnoće eksploatacije: Zašto nema mjesta panici, ali ima oprezu? Iako je ocjena ozbiljnosti ekstremno visoka (9.8), Microsoft je u svom zvaničnom izvještaju (Security Update Guide) klasifikovao vjerovatnoću eksploatacije kao “Exploitation Unlikely” (Eksploatacija malo vjerovatna). Razlog za ovu umjereniju procjenu leži u tehničkoj kompleksnosti modernih operativnih sistema. Savremeni Windows sistemi posjeduju napredne mehanizme zaštite memorije kao što su: ASLR (Address Space Layout Randomization): Nasumično raspoređivanje ključnih elemenata u memoriji, što otežava napadaču da pogodi tačnu lokaciju na koju treba usmjeriti svoj kod. DEP (Data Execution Prevention): Označavanje određenih dijelova memorije kao neizvršnih, čime se sprječava pokretanje koda sa hipa. Konstruisanje stabilnog i pouzdanog exploita koji zaobilazi sve ove barijere kroz DNS klijent zahtijeva izuzetan nivo vještine i duboko poznavanje unutrašnje arhitekture sistema. Ipak, istorija cyber sigurnosti nas uči da jednom kada detalji o ranjivosti postanu javni (ili kada napredni akteri sponzorisani od strane država počnu analizirati zakrpu – proces poznat kao patch reverse-engineering), pojava funkcionalnog exploita postaje samo pitanje vremena. Povezanost sa širim trendovima: Uloga vještačke inteligencije (AI) Zanimljiv kontekst majskog paketa zakrpa iz 2026. godine jeste rekordan broj otklonjenih propusta (preko 130 u jednom mjesecu). Microsoft je potvrdio da u borbi protiv cyber kriminala sve više koristi interne napredne sisteme vještačke inteligencije. Konkretno, njihov AI sistem pod kodnim imenom MDASH bio je direktno odgovoran za autonomno otkrivanje 16 ranjivosti u ovom ciklusu, uključujući i četiri kritična propusta. Ovo ukazuje na novu eru u cyber sigurnosti: trka u naoružanju se seli na polje vještačke inteligencije, gdje i branioci i napadači koriste AI za masovno skeniranje koda i pronalaženje skrivenih anomalija u softveru. Strategije sanacije i preporučeni koraci S obzirom na to da je klijentska strana DNS protokola esencijalna za svakodnevni rad, jedini trajni i sigurni način odbrane jeste primjena zvaničnih sigurnosnih zakrpa. 1. Hitna primjena sigurnosnih ažuriranja Administratori sistema moraju dati prioritet instalaciji majskih kumulativnih ažuriranja iz 2026. godine: Za sisteme Windows 11 i Windows Server 2025, potrebno je osigurati nadogradnju na verzije koje eliminišu propust (npr. verzije 10.0.26100.32772 / 10.0.26100.32860 ili novije, zavisno od specifične grane OS-a). Obavezno ponovno pokretanje (Reboot): Zakrpa modifikuje dnsapi.dll. Dok se sistem ponovo ne pokrene, stara, ranjiva verzija datoteke ostaje učitana u radnoj memoriji, ostavljajući sistem ranjivim. 2. Mrežna segmentacija i kontrola DNS saobraćaja Kao privremene mjere ili strategije dubinske odbrane (Defense in Depth), organizacije bi trebale implementirati sljedeće kontrole: Restrikcija eksternog DNS saobraćaja: Blokirajte sav odlazni DNS saobraćaj (port 53 UDP/TCP) sa običnih radnih stanica prema proizvoljnim IP adresama na internetu. Svi klijentski uređaji moraju biti konfigurisani da koriste isključivo interne, autorizovane korporativne DNS servere ili sigurne unutrašnje resolvere. Implementacija DNSSEC-a i enkripcije: Korištenje protokola kao što su DNS-over-HTTPS (DoH) ili DNS-over-TLS (DoT) drastično smanjuje rizik od Man-in-the-Middle napada i presretanja/modifikovanja DNS odgovora na lokalnoj mreži. 3. Monitoring i detekcija anomalija Sigurnosni timovi unutar SOC-ova (engl. Security Operations Centers) trebaju prilagoditi svoje SIEM sisteme i EDR (engl. Endpoint Detection and Response) agente kako bi pratili: Neočekivane padove ili ponovna pokretanja procesa koji su povezani sa mrežnim uslugama. Pokretanje sumnjivih podprocesa (poput cmd.exe ili powershell.exe) od strane mrežnih servisa ili unutar sistemskih procesa koji rukuju mrežnim saobraćajem. Zaključak Ranjivost Windows DNS klijenta CVE-2026-41096 predstavlja jasan podsjetnik na to da klijentske komponente bazičnih internet protokola ostaju kritična tačka napada. Iako Microsoft trenutno smatra da je masovna eksploatacija malo vjerovatna zbog kompleksnosti izrade stabilnog koda za napad, ogroman radijus potencijalne štete zahtijeva hitnu reakciju. U modernom IT okruženju, gdje se napadi automatizuju brže nego ikada prije, odlaganje instalacije zakrpa za komponente poput DNS-a predstavlja neprihvatljiv poslovni rizik. Pravovremeno krpljenje sistema, kontrola odlaznog mrežnog saobraćaja i upotreba provjerenih DNS infrastruktura predstavljaju stubove odbrane od ove, ali i svih budućih prijetnji sličnog tipa. Post navigation Evrostatično upozorenje: Internet kao zona visokog rizika od toksičnosti i govora mržnje Arcfox Alpha S5: Može li kineska “električna lisica” da svrgne kraljeve klase?
