Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows Server 03.06.2026 · 3 min Lesezeit

CVE‑2026‑41089: Windows-Netlogon-RCE wird aktiv ausgenutzt - Domain Controller sofort patchen

Eine kritische Netlogon-Schwachstelle (CVE-2026-41089, CVSS 9.8) erlaubt unauthentifizierte Remote Code Execution auf Windows-Domain-Controllern. Seit Anfang Juni 2026 laufen aktive Angriffe - Patchen hat höchste Priorität.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Warn-Infografik zu CVE-2026-41089, einer aktiv ausgenutzten Windows-Netlogon-RCE auf Domain Controllern, mit ungepatchtem DC, Netzwerkangriff ohne Authentifizierung, dringendem Patchen und priorisiertem Schutz von Active Directory.

Microsoft warnt vor einer kritischen Remote-Code-Execution-Schwachstelle im Windows-Netlogon-Dienst, die seit Anfang Juni 2026 aktiv ausgenutzt wird. Die als CVE-2026-41089 geführte Lücke erhält den maximalen Schweregrad mit einem CVSS-Wert von 9.8 (kritisch) und ermöglicht unauthentifizierten Angreifern die vollständige Übernahme von Domain Controllern - ohne jede Benutzerinteraktion. Eine kompromittierte Domäne führt damit unmittelbar zur vollständigen Übernahme der Active-Directory-Infrastruktur. Belgiens Centre for Cybersecurity (CCB) bestätigte Ende Mai sowie am 1. Juni 2026 aktive Angriffe in freier Wildbahn.

Die Schwachstelle

Bei CVE-2026-41089 handelt es sich um einen Stack-basierten Buffer-Overflow im Windows-Netlogon-Dienst. Angreifer senden speziell präparierte Netlogon-Anfragen via RPC an ungepatchte Domain Controller und erlangen so eine unauthentifizierte Remote Code Execution mit SYSTEM-Privilegien. Eine vorherige Anmeldung oder Benutzerinteraktion ist nicht erforderlich, was die Lücke besonders gefährlich macht.

Microsoft hatte den Fehler bereits am 12. Mai 2026 im Rahmen des Mai-Patchdays behoben, die Wahrscheinlichkeit einer Ausnutzung jedoch zunächst als gering eingestuft. Diese Einschätzung hat sich überholt: Proof-of-Concept-Exploits sind inzwischen öffentlich verfügbar. Sicherheitsforscher ziehen Parallelen zu Zerologon (CVE-2020-1472), die seinerzeit zu einer Welle von Domänenübernahmen führte.

Bin ich betroffen?

Betroffen sind alle unterstützten Windows-Server-Versionen von Windows Server 2012 R2 bis Windows Server 2025, einschließlich der Versionen 2016, 2019 und 2022. Primär gefährdet sind Domain Controller in Produktionsumgebungen, da der Netlogon-Dienst dort eine zentrale Rolle in der Authentifizierung spielt.

Wer prüfen möchte, ob ein System den Mai-Patch erhalten hat, kann den Patch-Status der installierten Updates abfragen:

Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 20

Domain Controller, die seit dem 12. Mai 2026 keine Sicherheitsupdates erhalten haben und über das Netzwerk erreichbar sind, gelten als unmittelbar gefährdet. Für Legacy-Systeme wie Windows Server 2008 R2, 2012 und 2012 R2 stellt Microsoft keinen offiziellen Patch mehr bereit.

Wie behebe ich das?

Oberste Priorität hat das sofortige Einspielen der Sicherheitspatches aus dem Microsoft-Mai-Patchday 2026. Domain Controller sollten dabei zuerst aktualisiert werden. Ergänzend empfehlen sich folgende Maßnahmen:

  1. Netlogon-RPC Sealing and Signing per Group Policy aktivieren, um manipulierte Anfragen zu erschweren.
  2. Netzwerksegmentierung des Netlogon-Traffics, um die Angriffsfläche einzugrenzen.
  3. MFA für administrative Sessions erzwingen.
  4. Monitoring auf unerwartete Netlogon-Neustarts und anomale Authentifizierungsmuster einrichten.

Für End-of-Life-Systeme ohne offiziellen Patch (2008 R2, 2012, 2012 R2) bietet ACROS Security mit 0patch entsprechende Micropatches an.

Was bedeutet das für Unternehmen?

Das Risiko ist als kritisch einzustufen. Eine erfolgreiche Ausnutzung führt zur vollständigen Kompromittierung der Active-Directory-Infrastruktur und damit zu Credential-Zugriff, lateraler Bewegung im Netzwerk, Ransomware-Deployment und Datendiebstahl über alle vernetzten Systeme hinweg. Jedes Unternehmen mit Windows-Server-Domain-Controllern ist direkt betroffen und nach Netzwerkexposition unmittelbar gefährdet.

Besonders existenziell ist die Lage für KRITIS-Betreiber und größere Organisationen mit komplexen Domänenstrukturen. Angesichts öffentlich verfügbarer Exploits und bestätigter Angriffe sollte das Patchen der Domain Controller nicht aufgeschoben werden. Wo ein sofortiges Update nicht möglich ist, sind die genannten Mitigationen kurzfristig umzusetzen.

Quellen

Weitere Informationen bei BleepingComputer, Help Net Security, SecurityWeek, The Hacker News, Cyber Security News sowie im Advisory des Centre for Cybersecurity Belgium (CCB).

Verwandt

Weiter lesen

Alle Artikel →
PowerShell-Konsole auf einem Windows Server mit Cmdlets und Pipeline
02.06.2026 ·10 min

PowerShell-Grundlagen für Windows-Admins

PowerShell-Grundlagen für Windows-Admins: Cmdlet-Prinzip, Pipeline mit Objekten, Discovery, Execution Policy, erstes Skript, Module und Fehlerbehandlung auf Windows Server 2022/2025.
Infografik zur zentralen Steuerung von Windows-Updates mit WSUS und Windows Update for Business, mit Updatefreigaben, Computergruppen, Richtlinien, Wartungsringen und kontrollierter Bereitstellung von Qualitäts- und Funktionsupdates.
02.06.2026 ·9 min

Windows-Updates zentral steuern: WSUS und Update for Business

Steuere Windows-Updates im Unternehmen zentral: WSUS on-prem als lokaler Update-Cache oder Windows Update for Business per GPO und Intune-Update-Ringe. Mit Klickpfaden, PowerShell und Troubleshooting.
Infografik zu Hyper-V mit erster virtueller Maschine, virtuellem Switch, ISO-Installation, zugewiesenem Arbeitsspeicher und der Nutzung von Checkpoints für Test- und Wiederherstellungspunkte.
02.06.2026 ·9 min

Hyper-V: erste virtuelle Maschine erstellen und Checkpoints nutzen

Hyper-V auf Windows Server 2022/2025 einrichten, erste VM anlegen und Checkpoints sicher einsetzen – mit GUI und PowerShell.