Auf den Punkt: Eine Stack-basierte Pufferlücke in Windows Netlogon wird in der Praxis ausgenutzt, um Domain Controller zu kompromittieren – Patches vom 12. Mai 2026 sind erforderlich.
Das belgische Cybersecurity-Zentrum (CCB) bestätigt aktive Angriffe auf die kritische Windows-Netlogon-Schwachstelle CVE-2026-41089 (CVSS 9.8). Angreifer können dadurch Schadcode mit System-Privilegien auf Domain Controllern ausführen.
Das Center for Cybersecurity Belgium (CCB) hat eine dringende Sicherheitswarnung herausgegeben: Die Schwachstelle CVE-2026-41089 im Windows Netlogon Subsystem wird von Bedrohungsakteuren aktiv ausgenutzt. Microsoft hatte sie am 12. Mai 2026 zusammen mit 135 weiteren Sicherheitsupdates geschlossen und klassifizierte sie mit dem maximalen CVSS-Wert 9.8. Das Besondere: Während Microsoft zunächst von einer geringen Ausnutzungswahrscheinlichkeit ausging, bestätigen die belgischen Sicherheitsbehörden nun reale Angriffe in freier Wildbahn.
Technisch handelt es sich um einen Stack-basierten Pufferüberlauf im Netlogon-Dienst – dem zentralen Prozess für sichere Kanäle zwischen Clients und Domain Controllern. Ein nicht authentifizierter Angreifer sendet ein präpariertes RPC-Netzwerkpaket an einen verwundbaren Controller. Da der Dienst die Eingabe unzureichend validiert, kann der Angreifer Rücksprungadressen auf dem Stack überschreiben und eigenen Code einschleusen. Kritisch: Der Netlogon-Dienst läuft mit System-Privilegien – der Angreifer erlangt somit direkt volle administrative Kontrolle über den Domain Controller ohne Authentifizierung.
Zwischen Behörden und Microsoft bestehen derzeit unterschiedliche Einschätzungen. Das belgische CCB warnt vor aktiver Ausnutzung mit Schadcode-Ausführung. Microsoft teilt mit, dass man keine verifizierten Telemetriedaten über laufende Kompromittierungen habe und das Sicherheitsbulletin nicht aktualisiert habe – empfiehlt aber dennoch dringend das Patchen. Sicherheitsforscher weisen darauf hin, dass die schnelle Verfügbarkeit von Reverse-Engineering-Tools und KI-Unterstützung die Zeitspanne zwischen Patch-Veröffentlichung und funktionierenden Exploits drastisch verkürzt hat.
Für CISOs ergibt sich unmittelbarer Handlungsbedarf: Das Einspielen der Updates ist notwendig, reicht aber nicht aus. Eine Kompromittierung der Domain Controller – des zentralen Vertrauensfundaments jeder Active-Directory-Umgebung – führt zum Zusammenbruch der gesamten Identitäts- und Zugriffsinfrastruktur. Organisationen sollten parallel zusätzliche Härtungsmaßnahmen implementieren, um die Attackfläche zu reduzieren und Lateral Movement zu erschweren.
Quelle: www.it-daily.net · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.