CVE-2026-41089 olarak izlenen Windows Netlogon hizmetindeki kritik bir güvenlik açığı artık aktif olarak istismar ediliyor. Bu açık, etki alanı denetleyicisi olarak çalışan Windows Server sistemlerini etkiliyor ve CVSS puanı 9,8. Başarılı bir istismar, saldırganın kimlik bilgilerine, kullanıcı etkileşimine veya önceden ağ erişimine ihtiyaç duymadan SYSTEM yetkileriyle keyfi kod çalıştırmasına olanak tanıyor.
Microsoft, sorunu 12 Mayıs'ta aylık Patch Tuesday güncellemesiyle çözdü ve bu güncelleme toplam 138 CVE'yi yamaladı. Şirket başlangıçta açığın istismar edilme olasılığını düşük olarak değerlendirdi. Ancak 29 Mayıs'ta Belçika Siber Güvenlik Merkezi aktif saldırılar olduğu konusunda uyarıda bulundu ve 1 Haziran'da Microsoft, raporları hâlâ araştırdığını ve MSRC portalını henüz güncellemediğini doğruladı.
CVE-2026-41089'un ciddiyeti, etki alanı denetleyicilerinin Active Directory'deki kritik rolünden kaynaklanıyor. Netlogon temel kimlik doğrulama mekanizmalarını yönetiyor ve bir etki alanı denetleyicisinin ele geçirilmesi, saldırgana tüm etki alanı ortamı üzerinde tam kontrol sağlıyor. Bu, ayrıcalıklı hesapların oluşturulmasına, veri hırsızlığına, fidye yazılımı dağıtımına ve kurumsal ağda yanal harekete yol açabiliyor.
Güvenlik açığı bir yığın tabanlı arabellek taşması. Saldırgan, etki alanı denetleyicisine özel hazırlanmış bir ağ isteği gönderiyor. Sistem güncellenmemişse, Netlogon hizmeti isteği yanlış işleyebiliyor ve en yüksek sistem ayrıcalıklarıyla kod çalıştırılmasına izin veriyor.
Uzmanlar, kuruluşların daha fazla onay beklememesi ve henüz uygulanmadıysa 12 Mayıs'taki kümülatif Windows Server güncellemesini hemen uygulaması gerektiği konusunda uyarıyor. Ayrıca, etki alanı denetleyicilerine dış ağlardan erişimin kısıtlanması ve Netlogon trafiğine yalnızca güvenilir iç kaynaklardan izin verilmesi öneriliyor. Güncellemeleri genellikle 30 gün erteleyen şirketler için bu açık özellikle tehlikeli çünkü yama yayını ile istismar raporları arasındaki sürenin endişe verici derecede kısa olduğu kanıtlandı.