Nach Angaben von Microsoft kann ein Angreifer eine speziell präparierte Netzwerkanfrage an einen Windows-Server senden, der als Domänencontroller fungiert. Gelingt dies, verarbeitet der Netlogon-Dienst die Anfrage fehlerhaft, wodurch der Angreifer möglicherweise Code auf dem betroffenen System ausführen kann – ohne sich anmelden zu müssen oder zuvor Zugriff gehabt zu haben.

Die belgische Cybersicherheitsbehörde teilte mit, dass die Schwachstelle inzwischen aktiv ausgenutzt wird und zur Codeausführung aus der Ferne führen kann. „CVE-2026-41089 in Windows Netlogon wird nun aktiv in freier Wildbahn ausgenutzt und könnte zu RCE führen. CVSS(3.1): 9.8", warnte die Behörde in einem Beitrag. „So schnell wie möglich patchen."

Weitere Einzelheiten zu den laufenden Angriffen nannte die CCB nicht und beantwortete eine entsprechende Anfrage von BleepingComputer nicht. Microsoft hat seinen Sicherheitshinweis bislang nicht aktualisiert; ein Sprecher reagierte nicht auf eine Anfrage von BleepingComputer mit der Bitte um Bestätigung, dass CVE-2026-41089 inzwischen aktiv ausgenutzt wird.

Laut dem Sicherheitshinweis, der am 12. Mai erschien, stammt die Entdeckung vom internen Offensiv- und Engineering-Forschungsteam WARP bei Microsoft.

Bereits zuvor hatte Microsoft Gegenmaßnahmen für YellowKey (CVE-2026-45585) veröffentlicht, eine Zero-Day-Schwachstelle in Windows BitLocker, die Zugriff auf geschützte Laufwerke ermöglicht. Sie wurde von einem anonymen Sicherheitsforscher namens „Nightmare Eclipse" als Hintertür beschrieben, offengelegt und mit einem Proof-of-Concept-Exploit veröffentlicht.

In den vergangenen Monaten hatte Nightmare Eclipse zudem die Schwachstellen zur Rechteausweitung BlueHammer (CVE-2026-33825) und RedSun (CVE-2026-41091) offengelegt – beide werden inzwischen in Angriffen ausgenutzt –, ferner die Zero-Day-Lücken GreenPlasma und MiniPlasma, die SYSTEM-Rechte verschaffen, sowie UnDefend (CVE-2026-45498), eine weitere Zero-Day-Schwachstelle, mit der Angreifer mit Standardrechten die Aktualisierung der Definitionen von Microsoft Defender blockieren können.

Auf Nightmare Eclipse reagierte Microsoft zunächst mit kaum verhüllten Andeutungen rechtlicher Schritte und anschließend mit der Mitteilung, das Unternehmen werde „gegebenenfalls mit den Strafverfolgungsbehörden zusammenarbeiten", wenn „eine Person das Gesetz bricht und sich an schädlichen Aktivitäten beteiligt, die unseren Kunden realen Schaden zufügen".