hnytgl/CVE-2026-41089-Detector

# CVE-2026-41089 检测工具 这是一个用于防御巡检的 **CVE-2026-41089** 检测脚本。该漏洞是 Microsoft 在 2026 年 5 月安全更新中披露的 Windows Netlogon 远程代码执行漏洞。 脚本不会发送漏洞利用包，也不会尝试触发 Netlogon 异常。它优先读取受影响组件 `netlogon.dll` 的文件版本，其次检查已安装 KB，最后才使用系统完整构建号作为兜底判断，从而降低单纯依赖 OS 版本号造成的误报。 ## 使用方法 检测本机 Windows 主机： python .\cve_2026_41089_check.py 通过 CIM/WMI 检测远程 Windows 主机： python .\cve_2026_41089_check.py --target dc01.example.com --format json 使用离线资产信息检测： python .\cve_2026_41089_check.py --input-json .\sample_facts.json --format csv 查看 MSRC 当前修复信息： python .\cve_2026_41089_check.py --update-msrc 退出码： - `0`：未发现漏洞主机 - `1`：运行或查询失败 - `2`：至少发现一台疑似受影响主机 ## 检测逻辑 证据优先级如下： 1. `netlogon.dll` 文件版本：直接检查漏洞相关组件版本，优先级最高。 2. 已安装 KB：匹配 Microsoft 公布的修复更新。 3. OS 完整构建号：仅在组件版本不可用时作为兜底判断。 4. 域控角色：该漏洞利用场景针对作为域控制器的 Windows Server。 结果状态： - `patched`：组件版本达到修复版本，或已安装匹配 KB。 - `vulnerable`：域控上的 `netlogon.dll` 组件版本低于修复版本，或组件版本不可用但系统构建和 KB 证据显示仍低于修复水平。 - `not_affected`：不在受影响产品/组件范围内，或主机不是域控。 - `unknown`：信息不足，无法判断。 输出中的 `evidence` 字段会说明判定依据，例如： - `netlogon.dll_version` - `installed_kb` - `os_build_fallback` - `domain_role` ## 修复版本 数据来源：Microsoft MSRC `2026-May` CVRF。 | 产品 | 修复版本 | 更新 | | --- | --- | --- | | Windows Server 2012 | `6.2.9200.26079` | KB5087470 | | Windows Server 2012 R2 | `6.3.9600.23181` | KB5087471 | | Windows Server 2016 | `10.0.14393.9140` | KB5087537 | | Windows Server 2019 | `10.0.17763.8755` | KB5087538 | | Windows Server 2022 | `10.0.20348.5139` | KB5087545 | | Windows Server 2022 Hotpatch | `10.0.20348.5074` | KB5087424 | | Windows Server 2022 23H2 | `10.0.25398.2330` | KB5087541 | | Windows Server 2025 | `10.0.26100.32860` | KB5087539 | | Windows Server 2025 Hotpatch | `10.0.26100.32772` | KB5087423 | ## 离线资产样例 { "target": "dc01", "caption": "Microsoft Windows Server 2019 Standard", "version": "10.0.17763", "build_number": "17763", "ubr": "8000", "product_type": 2, "domain_role": 5, "netlogon_file_version": "10.0.17763.8000", "installed_kbs": [] } ## 关于主动漏洞验证 本项目不提供利用式探测、崩溃验证或可用于复现 RCE 的请求构造。对生产域控来说，这类验证风险高，也不适合发布在公开仓库中。 如果需要进一步减少误报，推荐结合以下防御证据： - 读取 `C:\Windows\System32\netlogon.dll` 文件版本 - 核对补丁管理系统中的 KB 安装记录 - 确认主机是否为域控制器 - 检查变更窗口和重启状态 ## 参考 - Microsoft MSRC: - CVE Record: - NVD: ## 免责声明 本项目仅用于授权环境中的防御巡检。生产处置前，请结合 Microsoft 官方公告、补丁管理系统和变更记录复核结果。

标签：CIM 检测, CVE-2026-41089, CVE 漏洞检测, KB 更新检查, MSRC 修复信息, Netlogon 远程代码执行, Windows 安全更新, Windows 漏洞, WMI 检测, 域控制器检测, 安全巡检, 安全检测脚本, 安全漏洞响应, 操作系统构建号检查, 文件版本检查, 离线资产检测, 系统漏洞修复, 逆向工具