Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 02.06.2026 · 3 min Lesezeit

Windows Netlogon: Kritische RCE-Lücke CVE-2026-41089 wird aktiv ausgenutzt

Die kritische Netlogon-Schwachstelle CVE-2026-41089 (CVSS 9.8) erlaubt unauthentifizierte Codeausführung mit SYSTEM-Rechten auf Domänencontrollern. Sie wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Patches liegen seit dem 12. Mai 2026 vor.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Dunkles Cybersecurity-Hero-Bild zu einer kritischen Windows-Netlogon-RCE mit mittigem Warntext und abstrahierten Server- und Netzwerk-Elementen.

Eine kritische Schwachstelle im Windows Netlogon Remote Protocol (MS-NRPC) wird seit Ende Mai 2026 aktiv ausgenutzt. Die als CVE-2026-41089 geführte Lücke erhält den maximalen Schweregrad CVSS 9.8 und erlaubt unauthentifizierten Angreifern, mit einer einzigen speziell präparierten Netzwerkanfrage beliebigen Code mit SYSTEM-Rechten auf Domänencontrollern auszuführen. Damit steht Angreifern ein direkter Weg zur forest-weiten Übernahme einer Active-Directory-Umgebung offen. Microsoft hat den zugehörigen Patch bereits am 12. Mai 2026 im Rahmen des Patch Tuesday bereitgestellt.

Die Schwachstelle

Bei CVE-2026-41089 handelt es sich um einen Pufferüberlauf (CWE-121) im Windows Netlogon Remote Protocol. Die Lücke lässt sich vollständig unauthentifiziert ausnutzen – es ist weder ein gültiges Benutzerkonto noch eine Interaktion eines Anwenders erforderlich. Eine einzige manipulierte Netzwerkanfrage genügt, weshalb in der Berichterstattung von einem 0-Click-Angriff die Rede ist. Damit reiht sich die Lücke in eine Reihe schwerwiegender Netlogon-Schwachstellen ein, die Domänencontroller seit Jahren ins Visier rücken.

Eine erfolgreiche Ausnutzung liefert Angreifern Code-Ausführung mit SYSTEM-Rechten direkt auf dem Domänencontroller. Da der Domänencontroller der zentrale Vertrauensanker einer Active-Directory-Struktur ist, ermöglicht das die vollständige, forest-weite Übernahme des Verzeichnisdienstes. Aus einer einzelnen kompromittierten Maschine kann so binnen kurzer Zeit eine vollständig unter Kontrolle der Angreifer stehende Domäne werden.

Das belgische Cybersecurity-Zentrum (CCB) bestätigte die aktive Ausnutzung in freier Wildbahn und aktualisierte seine Warnung am 29. Mai 2026; mehrere Fachmedien berichteten am 1. Juni 2026 darüber. Die US-Behörde CISA hat die Schwachstelle in ihren Known-Exploited-Vulnerabilities-Katalog (KEV) aufgenommen und US-Bundesbehörden eine Patch-Frist bis zum 1. Juni 2026 gesetzt. Eine Aufnahme in den KEV-Katalog gilt als deutliches Signal, dass die Lücke nicht nur theoretisch, sondern real ausgenutzt wird.

Bin ich betroffen?

Betroffen sind unterstützte Windows-Server-Versionen von 2012 bis 2025, einschließlich Windows Server 2025. Im Fokus stehen insbesondere Domänencontroller unter:

  1. Windows Server 2012 und 2012 R2 (nur noch via Extended Security Updates)
  2. Windows Server 2016
  3. Windows Server 2019
  4. Windows Server 2022
  5. Windows Server 2025

Kritisch sind vor allem Domänencontroller in exponierten oder unzureichend segmentierten Netzwerkpositionen. Grundsätzlich ist jede Organisation mit Active-Directory-Infrastruktur potenziell betroffen. Der Patch-Stand eines Servers lässt sich über die installierten Updates prüfen – die folgende PowerShell-Abfrage listet die zuletzt eingespielten Updates auf:

Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10

Wie behebe ich das?

Oberste Priorität hat das umgehende Einspielen der Microsoft-Security-Updates vom 12. Mai 2026 (Patch Tuesday) auf allen Domänencontrollern. Da die Lücke aktiv ausgenutzt wird, sollte das Update als Notfall-Patch außerhalb der regulären Wartungsfenster behandelt werden. Ergänzend werden folgende Maßnahmen empfohlen:

  1. Patchen: Security-Updates vom 12. Mai 2026 priorisiert auf allen DCs ausrollen.
  2. Segmentieren: Netlogon- und RPC-Traffic an Perimeter-Firewalls und zwischen Netzsegmenten restriktiv filtern.
  3. Monitoren: Auf verdächtige DC-Crashes, anomale Netlogon-Traffic-Muster und auffällige Authentifizierungsfehler achten.
  4. Legacy absichern: Für nicht mehr regulär unterstützte Systeme bieten ACROS Security/0patch Micropatches an, unter anderem für Windows Server 2008 R2, 2012 und 2012 R2.

Nach dem Einspielen empfiehlt sich eine Kontrolle der Update-Historie sowie eine kurze Funktionsprüfung der Replikation und der Anmeldedienste, um sicherzustellen, dass die Domänencontroller wie erwartet weiterarbeiten.

Was bedeutet das für Unternehmen?

Das Risiko ist als kritisch einzustufen. Die aktive Ausnutzung kann zur vollständigen Active-Directory-Übernahme führen und damit forest-weites Ransomware-Deployment, Credential-Harvesting, Policy-Missbrauch und laterale Bewegung ermöglichen. Da der Verzeichnisdienst die zentrale Zugriffskontrolle der gesamten IT bildet, steht im Ernstfall die Vertrauenswürdigkeit der kompletten Infrastruktur infrage.

Bei einem Datenabfluss drohen zudem Konsequenzen für die DSGVO-Konformität. Organisationen sollten das Patchen ihrer Domänencontroller als Notfallmaßnahme behandeln und parallel ihre Disaster-Recovery-Pläne überprüfen, um im Kompromittierungsfall handlungsfähig zu bleiben. Wer den Patch nicht zeitnah ausrollen kann, sollte zumindest die empfohlenen Mitigations umsetzen und die betroffenen Systeme engmaschig überwachen.

Quellen

Weitere Informationen finden sich bei BleepingComputer, Help Net Security, CyberSecurityNews, heise.de, im Microsoft Security Response Center sowie beim belgischen Cybersecurity-Zentrum (CCB).

Verwandt

Weiter lesen

Alle Artikel →
Symbolbild IT-Sicherheit: Schloss-Symbol vor Programmcode für eine kritische Exchange-Schwachstelle
01.06.2026 ·3 min

Exchange-Zero-Day CVE-2026-42897: Kritische XSS-Lücke in OWA wird aktiv ausgenutzt – nur Mitigation, kein Patch

Microsoft warnt vor der aktiv ausgenutzten Zero-Day-Lücke CVE-2026-42897 in Exchange Server. Über präparierte E-Mails lässt sich JavaScript in OWA ausführen. Ein Patch fehlt noch – nur temporäre Mitigationen stehen bereit.
Server-Rack im Rechenzentrum – Symbolbild für Windows-Server-Domänencontroller
31.05.2026 ·2 min

LiteSpeed cPanel-Plugin: CISA setzt Vier-Tage-Frist gegen aktive Angriffe

Eine kritische Rechteausweitung im LiteSpeed cPanel-Plugin wird laut CISA aktiv ausgenutzt. US-Bundesbehörden bekamen nur vier Tage zum Patchen. Auch europäische Hoster sollten reagieren.
Netzwerk-Storage im Regal – Symbolbild für Synology-NAS
29.05.2026 ·2 min

Drupal-Lücke CVE-2026-9082: Angreifer attackieren PostgreSQL-Setups

Eine als kritisch eingestufte SQL-Injection-Lücke im Drupal-Core wird aktiv ausgenutzt. Betroffen sind ausschließlich Installationen, die PostgreSQL als Datenbank verwenden.