Netlogon 是 Windows Active Directory 域环境中负责域成员认证、域控制器间复制等核心功能的网络协议。它运行在 RPC 之上，使用一套相对古老的 MS-NRPC（Netlogon Remote Protocol）协议规范。

　　从多方报道汇总的技术细节来看，CVE-2026-41089 的触发路径可以概括为：

　　攻击者 → 构造特制 Netlogon 网络请求 → 域控制器 Netlogon 服务接收

　　→ 协议处理逻辑对请求字段处理不当 → 内存破坏 → 代码执行

　　具体而言，漏洞出现在 Netlogon RPC 接口对特定请求字段（如认证计算、数据封装相关参数）的处理过程中。服务在解析这些字段时缺少充分的边界检查或状态验证，导致攻击者可以操纵内存布局，最终实现在 Netlogon 服务进程（通常以 SYSTEM 权限运行）的上下文中执行任意代码。

　　与 CVE-2020-1472（Zerologon）的关键区别：

　　CVE-2020-1472 是 2020 年曝光的另一个 Netlogon 严重漏洞，但那个是权限提升/域接管（将域控机器账户密码置空），不是直接的 RCE。CVE-2026-41089 的威胁等级更高——它跳过权限提升步骤，直接给你代码执行。这意味着利用链更短，攻击者不需要借助其他工具就能在域控制器上站稳脚跟。

　　攻击链路还原：从一个网络连接到整个域沦陷

　　假设攻击者已经具备企业内网的初始网络接入（可能是通过 VPN 暴露面、供应链渗透、或者外围系统的漏洞拿下），利用 CVE-2026-41089 后的典型攻击链路如下：

　　第一阶段：初始入侵 → 定位域控制器

　　攻击者进入内网后，第一步通常是扫描定位域控制器。常见的网络层指纹包括：

　　开放 389/636 端口（LDAP/LDAPS）

　　开放 88 端口（Kerberos）