Danny Weber
En kritisk sårbarhet i Windows Netlogon (CVE-2026-41089) utnyttjas aktivt i attacker mot domänkontrollanter. Microsoft har släppt en patch den 12 maj. Uppdatera omedelbart för att förhindra fullständig kompromettering.
En kritisk sårbarhet i Windows Netlogon-tjänsten, med beteckningen CVE-2026-41089, utnyttjas nu aktivt i verkliga attacker. Felet påverkar Windows Server-system som används som domänkontrollanter och har fått CVSS-poängen 9,8. Exploatering gör att en angripare kan utföra godtycklig kod med SYSTEM-behörighet utan att behöva autentisering, användarinteraktion eller tidigare nätverksåtkomst.
Microsoft åtgärdade problemet den 12 maj som en del av sin månatliga Patch Tuesday-uppdatering, vilken åtgärdade totalt 138 CVE:er. Inledningsvis bedömde företaget sannolikheten för exploatering som låg. Men den 29 maj varnade Belgiens cybersäkerhetscenter för aktiva attacker, och den 1 juni bekräftade Microsoft att de fortfarande undersökte rapporterna och ännu inte uppdaterat MSRC-portalen.
Allvarlighetsgraden hos CVE-2026-41089 beror på domänkontrollanternas centrala roll i Active Directory. Netlogon hanterar viktiga autentiseringsmekanismer, och om en domänkontrollant komprometteras får angriparen full kontroll över hela domänmiljön. Det kan leda till skapandet av privilegierade konton, datastöld, utplacering av ransomware och lateral rörelse i företagsnätverket.
Sårbarheten är ett stackbaserat buffertöverskridande. Angriparen skickar helt enkelt en specialgjord nätverksförfrågan till en domänkontrollant. Om systemet inte är uppdaterat kan Netlogon-tjänsten hantera förfrågan felaktigt och därmed tillåta kodexekvering med de högsta systembehörigheterna.
Experter uppmanar organisationer att inte invänta ytterligare bekräftelse utan omedelbart installera den kumulativa Windows Server-uppdateringen från 12 maj om den inte redan är på plats. De rekommenderar också att begränsa åtkomsten till domänkontrollanter från externa nätverk och endast tillåta Netlogon-trafik från betrodda interna källor. För företag som normalt skjuter upp patchning i 30 dagar är denna sårbarhet särskilt farlig – tidsfönstret mellan patchsläppet och rapporter om exploatering har redan visat sig vara alarmerande kort.
© E. Vartanyan