Windows Netlogon-palvelussa on havaittu kriittinen haavoittuvuus, joka tunnetaan tunnuksella CVE-2026-41089 ja jota hyödynnetään nyt aktiivisesti hyökkäyksissä. Aukko koskee Windows Server -järjestelmiä, jotka toimivat toimialueen ohjaimina, ja sen CVSS-pistemäärä on 9,8. Onnistunut hyökkäys mahdollistaa mielivaltaisen koodin suorittamisen SYSTEM-oikeuksilla ilman tunnistautumista, käyttäjän toimia tai verkkoyhteyden ennakkotoimia.
Microsoft korjasi ongelman 12. toukokuuta osana kuukausittaista Patch Tuesday -päivitystä, joka paikkasi yhteensä 138 CVE:tä. Aluksi yhtiö arvioi hyväksikäytön todennäköisyyden matalaksi. Belgian kyberturvallisuuskeskus kuitenkin varoitti aktiivisista hyökkäyksistä 29. toukokuuta, ja 1. kesäkuuta mennessä Microsoft vahvisti tutkivansa raportteja eikä ollut vielä päivittänyt MSRC-portaalia.
CVE-2026-41089:n vakavuus johtuu toimialueen ohjaimien keskeisestä roolista Active Directoryssä. Netlogon käsittelee olennaisia todennusmekanismeja, ja toimialueen ohjaimen vaarantaminen antaa hyökkääjälle täyden hallinnan koko toimialueympäristöön. Tämä voi johtaa etuoikeutettujen tilien luomiseen, tietovarkauksiin, kiristyshaittaohjelmien asennukseen ja liikkumiseen yritysverkossa sivusuunnassa.
Haavoittuvuus on pinopohjainen puskurin ylivuoto. Hyökkääjän tarvitsee vain lähettää erityisesti muokattu verkkopyyntö toimialueen ohjaimelle. Jos järjestelmää ei ole päivitetty, Netlogon-palvelu saattaa käsitellä pyynnön virheellisesti, mikä mahdollistaa koodin suorittamisen järjestelmän korkeimmilla oikeuksilla.
Asiantuntijat kehottavat organisaatioita odottamatta lisävahvistuksia asentamaan välittömästi 12. toukokuuta julkaistun kumulatiivisen Windows Server -päivityksen, ellei sitä ole jo tehty. He suosittelevat myös rajoittamaan pääsyä toimialueen ohjaimille ulkoisista verkoista ja sallimaan Netlogon-liikenteen vain luotetuista sisäisistä lähteistä. Yrityksille, jotka tyypillisesti viivästyttävät päivitysten asentamista 30 päivällä, tämä haavoittuvuus on erityisen vaarallinen, sillä päivityksen julkaisun ja hyväksikäyttöraporttien välinen aika on osoittautunut hälyttävän lyhyeksi.