Danny Weber
Ontdek details over de kritieke Windows Netlogon-kwetsbaarheid CVE-2026-41089 die actief wordt misbruikt. Patch uw domeincontrollers om systeemcompromittering te voorkomen.
Een kritieke kwetsbaarheid in de Windows Netlogon-service, bekend als CVE-2026-41089, wordt nu actief misbruikt in het wild. De fout treft Windows Server-systemen die fungeren als domeincontrollers en heeft een CVSS-score van 9,8. Succesvolle exploitatie stelt een aanvaller in staat om willekeurige code uit te voeren met SYSTEM-rechten zonder dat inloggegevens, gebruikersinteractie of netwerktoegang nodig zijn.
Microsoft pakte het probleem aan op 12 mei als onderdeel van de maandelijkse Patch Tuesday-update, waarmee in totaal 138 CVEs werden gepatcht. In eerste instantie schatte Microsoft de kans op misbruik laag in. Maar op 29 mei waarschuwde het Belgische Cybersecurity Center voor actieve aanvallen, en op 1 juni bevestigde Microsoft dat het de meldingen nog onderzocht en het MSRC-portaal nog niet had bijgewerkt.
De ernst van CVE-2026-41089 komt door de cruciale rol van domeincontrollers in Active Directory. Netlogon verzorgt essentiële authenticatiemechanismen. Door een domeincontroller te compromitteren krijgt een aanvaller feitelijk volledige controle over de volledige domeinomgeving. Dit kan leiden tot het creëren van geprivilegieerde accounts, datadiefstal, ransomware-uitrol en laterale beweging binnen het bedrijfsnetwerk.
De kwetsbaarheid betreft een stack-based buffer overflow. Een aanvaller stuurt eenvoudigweg een speciaal geprepareerd netwerkverzoek naar een domeincontroller. Als het systeem niet is bijgewerkt, kan de Netlogon-service het verzoek onjuist afhandelen, waardoor code met maximale systeemrechten kan worden uitgevoerd.
Experts dringen er bij organisaties op aan niet te wachten op verdere bevestiging en de cumulatieve Windows Server-update van 12 mei meteen te installeren als dat nog niet is gebeurd. Ze raden ook aan de toegang tot domeincontrollers vanuit externe netwerken te beperken en Netlogon-verkeer alleen van vertrouwde interne bronnen toe te staan. Voor organisaties die patches standaard 30 dagen uitstellen is deze kwetsbaarheid extra gevaarlijk: de tijd tussen de patchrelease en de eerste meldingen van actief misbruik is alarmerend kort gebleken.
© E. Vartanyan