Notebookcheck Logo

Windows Netlogon CVE-2026-41089 utnyttjad: Prioriterad patch behövs

CVE-2026-41089 gör det möjligt för obehöriga att köra kod på Windows-domänkontrollanter med SYSTEM-behörighet.
ⓘ Freepik.com
CVE-2026-41089 gör det möjligt för obehöriga att köra kod på Windows-domänkontrollanter med SYSTEM-behörighet.
CVE-2026-41089, ett kritiskt Windows Netlogon-fel med CVSS 9.8, utnyttjas nu aktivt. Domänkontrollanter som inte är patchade utsätts för en fullständig kompromettering på SYSTEM-nivå utan att några referenser behövs.
Security Hack / Data Breach Windows Microsoft Business

Angripare utnyttjar aktivt en kritisk Windows Netlogon-sårbarhet som Microsoft patchade för tre veckor sedan och bedömde som osannolik att utnyttjas. Centre for Cybersecurity Belgium utfärdade en exploateringsvarning den 29 maj, vilket höjde riskprofilen för varje opatchad Windows Server-miljö som körs som en domänkontrollant. Även om Microsoft den 1 juni uppgav att man fortfarande validerar dessa påståenden och ännu inte har uppdaterat sin MSRC-portal, uppmanas säkerhetsteam att inte vänta.

CVE-2026-41089 är en stackbaserad buffertöverskridning i Netlogon-tjänsten med en CVSS-poäng på 9,8. En oautentiserad fjärranvändare skickar en utformad nätverksbegäran till en Windows Server som fungerar som en domänkontrollant. Om det lyckas hanterar Netlogon-tjänsten begäran felaktigt, vilket gör att angriparen kan köra godtycklig kod med SYSTEM-privilegier. Inga autentiseringsuppgifter. Ingen användarinteraktion. Ingen tidigare åtkomst behövs.

Varför oron

Microsoft patchade CVE-2026-41089 den 12 maj som en del av sin maj Patch Tuesday, som adresserade 138 CVE totalt. Trots allvarlighetsgraden 9,8 bedömde Redmond bristen som "utnyttjande mindre sannolikt" vid tidpunkten för frisläppandet. Gapet mellan den officiella bedömningen och hotrapporterna från den verkliga världen är precis vad som fångar företagens säkerhetsteam på vakt.

CCB-rådgivningen kom 17 dagar efter att plåstret släpptes. Det är väl inom det fönster som många företags patchcykler fungerar. Organisationer som behandlar uppdateringar av Patch Tuesday som ett 30-dagars utrullningsschema snarare än en omedelbar prioritet är för närvarande utsatta.

Windows Netlogon CVE-2026-41089: Vad är i riskzonen?

Domänkontrollanter är ryggraden för autentisering i Active Directory-miljöer. Framgångsrikt utnyttjande av CVE-2026-41089 ger en angripare kodkörning på SYSTEM-nivå på själva domänkontrollanten, vilket i praktiken innebär full kontroll över Active Directory-domänen, möjligheten att skapa privilegierade konton och lateral rörelse över alla system som autentiserar mot den kontrollanten.

Jack Bicer, chef för sårbarhetsforskning på Action1, flaggade för felet vid patch-tiden: "Denna CVE kräver omedelbar uppmärksamhet. Framgångsrika attacker kan leda till utbredd endpoint-kompromiss, ransomware-distribution, credential harvesting och driftstörningar i företagsnätverk."

Vad kan göras

Applicera den kumulativa uppdateringen från den 12 maj omedelbart om den inte har distribuerats. Fixen ingår i standarduppdateringen för Windows Server för alla versioner som stöds. Isolera domänkontrollanter från direkt internetexponering och begränsa Netlogon-trafiken till endast autentiserade interna källor. Den 9 juni är nästa Patch Tuesday och det sista uppdateringsfönstret före den 24-27 juni Secure Boot-certifikat vilket gör det ännu mer angeläget att slutföra utrullningen i maj före det datumet.

Google LogoAdd as a preferred source on Google
Mail Logo

Relaterade artiklar

> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 06 > Windows Netlogon CVE-2026-41089 utnyttjad: Prioriterad patch behövs
Darryl Linington, 2026-06- 3 (Update: 2026-06- 3)