Kritische Sicherheitslücke: Angreifer kapern Windows-Server über das Netzwerk

Angreifer haben offenbar einen Weg gefunden, eine kritische Schwachstelle im Netlogon-Dienst auszunutzen, um Windows-Server-Systeme zu kapern. Das geht aus einer aktualisierten Meldung(öffnet im neuen Fenster) der belgischen Cybersicherheitsbehörde CCB (Centre for Cybersecurity Belgium) hervor. In welchem Umfang die beobachteten Angriffe stattfinden, ist noch unklar. Patches stehen jedoch zur Verfügung und sollten zügig installiert werden.

Bei der besagten Sicherheitslücke handelt es sich um CVE-2026-41089(öffnet im neuen Fenster). Laut Microsoft liegt der CVSS-Wert bei 9,8, was einem kritischen Schweregrad entspricht. Angreifer können damit auf Windows-Server-Systemen, die als Domain Controller konfiguriert sind, Schadcode einschleusen und zur Ausführung bringen.

Nach Angaben des CCB erfolgt die Codeausführung sogar mit Systemrechten. Angreifer müssen lediglich eine speziell gestaltete Netzwerkanfrage übermitteln, um einen Pufferüberlauf auszulösen und damit die Lücke auszunutzen. Eine vorherige Authentifizierung oder eine Nutzerinteraktion sind nicht erforderlich. Die Angriffskomplexität ist laut Microsoft gering.

In Microsofts Sicherheitsmeldung zu CVE-2026-41089 wird die aktive Ausnutzung der Lücke bisher nicht erwähnt. Der Konzern stuft das Aufkommen solcher Angriffe dort sogar als "weniger wahrscheinlich" ein, ohne jedoch näher zu erläutern, wie Microsoft zu dieser Einschätzung gelangt ist. Es ist aber anzunehmen, dass das Unternehmen seine Meldung in Kürze entsprechend der Beobachtungen des CCB aktualisieren wird.

Als anfällig gelten alle gängigen Windows-Server-Versionen. Patches veröffentlichte Microsoft schon zum Mai-Patchday. Die Updates mit Korrekturen für Windows Server 2012 (R2), 2016, 2019, 2022 und 2025 stehen damit seit dem 12. Mai bereit. Wer die Mai-Updates noch nicht installiert hat, sollte dies angesichts der laufenden Attacken dringend nachholen.