En kritisk sårbarhet i Windows Netlogon-tjenesten, kjent som CVE-2026-41089, blir nå aktivt utnyttet i angrep. Feilen rammer Windows Server-systemer som fungerer som domenecontrollere, og har en CVSS-score på 9,8. Ved vellykket utnyttelse kan en angriper utføre vilkårlig kode med SYSTEM-rettigheter uten å ha legitimasjon, brukerinteraksjon eller nettverkstilgang.
Microsoft løste problemet 12. mai som en del av månedens Patch Tuesday-oppdatering, som totalt fikset 138 sårbarheter. Selskapet vurderte først sannsynligheten for utnyttelse som lav. Men 29. mai varslet Belgias cybersikkerhetssenter om aktive angrep, og innen 1. juni bekreftet Microsoft at de fortsatt undersøkte rapportene og ennå ikke hadde oppdatert MSRC-portalen.
Alvorlighetsgraden til CVE-2026-41089 skyldes den kritiske rollen domenecontrollere har i Active Directory. Netlogon håndterer viktige autentiseringsmekanismer, og å kompromittere en domenecontroller gir angriperen full kontroll over hele domenemiljøet. Dette kan føre til opprettelse av privilegerte kontoer, datatyveri, utplassering av løsepengevirus og lateral bevegelse i bedriftsnettverket.
Sårbarheten er et stakkbasert bufferoverløp. En angriper sender en spesiallaget nettverksforespørsel til en domenecontroller. Hvis systemet ikke er oppdatert, kan Netlogon-tjenesten håndtere forespørselen feil, noe som tillater kjøring av kode med maksimale systemrettigheter.
Eksperter oppfordrer organisasjoner til ikke å vente på ytterligere bekreftelse, og umiddelbart installere den kumulative Windows Server-oppdateringen fra 12. mai hvis den ikke allerede er tatt i bruk. De anbefaler også å begrense tilgang til domenecontrollere fra eksterne nettverk og kun tillate Netlogon-trafikk fra pålitelige interne kilder. For selskaper som vanligvis utsetter oppdateringer i 30 dager, er denne sårbarheten spesielt farlig – tidsrommet mellom publisering av oppdatering og rapporter om utnyttelse har allerede vist seg å være skremmende kort.