Angreifer nutzen eine kritische Sicherheitslücke im Netlogon-Code von Windows Server aus, um in Netzwerke einzubrechen. Das meldet die belgische Cybersicherheitsbehörde CCB. Zur Attacke genügt offenbar ein manipuliertes Paket an den Domain Controller. Systemverwalter sollten schnellstmöglich prüfen, ob die im Mai durch Microsoft bereitgestellten Patches auf ihren Systemen installiert sind.
Bei der Sicherheitslücke mit der CVE-Kennung CVE-2026-41089 handelt es sich um einen Pufferüberlauf auf dem Stack, der mit einem präparierten Paket an den Domain-Controller ausgenutzt werden kann. Einem auf GitHub kursierenden angeblichen Proof-of-Concept-Exploit (PoC) zufolge steckt der Überlauf im Benutzernamen-Parameter eines über UDP versandten LDAP-Pakets (CLDAP Locator Ping). Obwohl der PoC lediglich einen Absturz des LSASS-Dienstes verursacht, ist die Einschleusung von Schadcode der Microsoft-Einschätzung zufolge ebenfalls möglich. Das erklärt auch den hohen CVSS-Punktwert von 9.8 (Einstufung kritisch).
Schnell patchen und Eindringlinge suchen
Die Sicherheitslücke betrifft alle aktuell gepflegten Versionen von Windows Server inklusive der neuesten Ausgabe, Windows Server 2025. Microsoft hat bereits am 12. Mai Patches bereitgestellt – wer diese noch nicht eingepflegt hat, sollte das schleunigst nachholen. Und prüfen, ob bereits unerwünschter Besuch auf dem ungepatchten Server unterwegs war. Dem PoC-Autoren zufolge können sie dazu in den Systemprotokollen nach CLDAP-Anfragen mit einem ungewöhnlich langen „User“-Attribut oder nach LSASS-Abstürzen mit Event-ID 1000 (netlogon.dll) suchen.
