Eine kritische Sicherheitslücke im Windows-Netlogon-Dienst wird derzeit aktiv ausgenutzt. Sie trägt die Bezeichnung CVE-2026-41089 und betrifft Windows-Server, die als Domänencontroller eingesetzt werden. Der CVSS-Score liegt bei 9,8. Ein erfolgreicher Angriff erfordert weder Anmeldedaten noch Benutzerinteraktion oder vorherigen Netzwerkzugriff – der Angreifer kann beliebigen Code mit SYSTEM-Rechten ausführen.
Microsoft hat das Problem am 12. Mai mit dem monatlichen Patch-Day behoben. Insgesamt wurden 138 Schwachstellen geschlossen. Zunächst schätzte Microsoft die Wahrscheinlichkeit einer Ausnutzung als gering ein. Doch am 29. Mai warnte das belgische Zentrum für Cybersicherheit vor aktiven Angriffen. Microsoft bestätigte am 1. Juni, dass die Berichte noch geprüft werden, und aktualisierte das MSRC-Portal bis dahin nicht.
Die Schwere der Lücke erklärt sich aus der zentralen Rolle von Domänencontrollern in Active Directory. Netlogon übernimmt wesentliche Authentifizierungsaufgaben. Gelingt es einem Angreifer, einen Domänencontroller zu kompromittieren, hat er praktisch die vollständige Kontrolle über die gesamte Domäne. Das öffnet Tür und Tor für die Anlage privilegierter Konten, Datendiebstahl, Ransomware-Angriffe und laterale Bewegungen im Firmennetz.
Bei der Sicherheitslücke handelt es sich um einen stackbasierten Pufferüberlauf. Ein Angreifer sendet einfach eine speziell präparierte Netzwerkanfrage an einen Domänencontroller. Wenn das System nicht aktualisiert ist, verarbeitet der Netlogon-Dienst die Anfrage fehlerhaft und erlaubt die Ausführung von Code mit maximalen Systemrechten.
Experten raten Unternehmen, nicht auf weitere Bestätigungen zu warten und das kumulative Windows-Server-Update vom 12. Mai sofort einzuspielen, falls das noch nicht geschehen ist. Außerdem sollten Domänencontroller nur aus vertrauenswürdigen internen Quellen erreichbar sein und Netlogon-Datenverkehr entsprechend eingeschränkt werden. Für Firmen, die Patches üblicherweise 30 Tage zurückhalten, ist diese Schwachstelle besonders gefährlich – das Zeitfenster zwischen Patch-Veröffentlichung und ersten Ausnutzungsberichten war bereits alarmierend kurz.