一句话结论先说在前

　　CVE-2026-41089 是一个藏在 Windows Netlogon 协议栈里的零点击远程代码执行漏洞，攻击者只要能连上域控制器的 Netlogon 端口（默认 135/445 及动态高端口），不需要账号、不需要点链接、不需要任何交互，就能直接拿到 SYSTEM 权限。微软 2026 年 5 月补丁星期二已经修复，但漏洞从披露到被发现在野利用之间几乎没有窗口期——这意味着扫描和利用已经自动化了。

　　比利时网络安全中心 CCB 在 6 月 1 日确认了该漏洞存在在野利用，鉴于 Netlogon 是全球 Windows AD 域架构的通用组件，境外利用活动的技术细节和攻击链路对国内防御体系仍具直接参考价值。

　　漏洞基本面：为什么这次特别"烫手"

　　CVE-2026-41089 的三个属性叠在一起，构成了一个近乎"完美"的攻击武器：

　　属性实际情况为什么危险认证要求完全不需要任何能访问到域控制器网络位置的攻击者都可以发起用户交互零点击不依赖钓鱼、社工，没有触发条件权限级别SYSTEM域控制器上的 SYSTEM = 整个域的最高权限

　　微软在 2026 年 5 月补丁批次中一共修复了 118 个漏洞，其中 16 个被评为 Critical。比利时网络安全中心（CCB）专门发公告点名了 CVE-2026-41089，理由很直接：它满足"蠕虫级"漏洞的全部特征——可远程利用、无需认证、能自我传播到下一个域控制器。

　　受影响范围：Windows Server 2012 及以后所有受支持版本。只要你的服务器在充当域控制器角色（DC），就处于暴露面内。

　　技术原理：Netlogon 协议栈里的"处理不当"