Une vulnérabilité critique dans le service Windows Netlogon, référencée CVE-2026-41089, est désormais activement exploitée dans la nature. Ce défaut affecte les systèmes Windows Server fonctionnant comme contrôleurs de domaine et obtient un score CVSS de 9,8. Une exploitation réussie permet à un attaquant d'exécuter du code arbitraire avec les privilèges SYSTEM, sans nécessiter d'identifiants, d'interaction utilisateur ni d'accès réseau préalable.
Microsoft a corrigé le problème le 12 mai dans le cadre de son Patch Tuesday mensuel, qui a corrigé 138 CVE au total. Initialement, l'entreprise estimait la probabilité d'exploitation comme faible. Mais le 29 mai, le Centre de cybersécurité belge a alerté sur des attaques actives, et le 1er juin, Microsoft a confirmé qu'il enquêtait toujours sur ces signalements et n'avait pas encore mis à jour le portail MSRC.
La gravité de CVE-2026-41089 découle du rôle critique des contrôleurs de domaine dans Active Directory. Netlogon gère des mécanismes d'authentification essentiels, et compromettre un contrôleur de domaine donne effectivement à un attaquant le contrôle total sur l'ensemble de l'environnement du domaine. Cela peut entraîner la création de comptes privilégiés, le vol de données, le déploiement de ransomwares et des mouvements latéraux sur le réseau d'entreprise.
La vulnérabilité est un débordement de tampon basé sur la pile. Un attaquant envoie simplement une requête réseau spécialement conçue à un contrôleur de domaine. Si le système n'a pas été mis à jour, le service Netlogon peut mal gérer la requête, permettant l'exécution de code avec les privilèges système maximum.
Les experts exhortent les organisations à ne pas attendre de confirmation supplémentaire et à appliquer immédiatement la mise à jour cumulative de Windows Server du 12 mai si ce n'est pas déjà fait. Ils recommandent également de restreindre l'accès aux contrôleurs de domaine depuis les réseaux externes et de n'autoriser le trafic Netlogon qu'à partir de sources internes de confiance. Pour les entreprises qui retardent habituellement les correctifs de 30 jours, cette vulnérabilité est particulièrement dangereuse — la fenêtre entre la publication du correctif et les signalements d'exploitation s'est déjà révélée alarmante.