Das CCB meldet, dass Bedrohungsakteure die Schwachstelle inzwischen aktiv in freier Wildbahn ausnutzen, und ruft zu sofortigem Patchen auf. Über die Lücke könnten entfernte Angreifer beliebigen Code mit System-Rechten ausführen, so die Behörde.

Microsoft hatte CVE-2026-41089 am 12. Mai offengelegt und im Zuge der Patch-Tuesday-Updates zusammen mit 136 weiteren Fehlern geschlossen. In seinem Advisory beschreibt der Hersteller den Defekt als Stack-basierten Pufferüberlauf, der sich über speziell gestaltete Netzwerkanfragen auslösen lässt.

Angreifbar sind dem Advisory zufolge Windows-Server in der Rolle eines Domänencontrollers, und zwar ohne Authentifizierung. Bei erfolgreicher Ausnutzung verarbeite der Netlogon-Dienst die Anfrage fehlerhaft, was es einem Angreifer ermöglichen könne, Code auf dem betroffenen System auszuführen — ohne Anmeldung und ohne vorherigen Zugriff, heißt es darin.

Auffällig ist, dass CVE-2026-41089 bei der Veröffentlichung nicht zu den rund zwölf Schwachstellen aus den Mai-Updates gehörte, deren Ausnutzung Microsoft als wahrscheinlich einstufte.

Zum Zeitpunkt der Veröffentlichung lagen keine weiteren Berichte über Angriffe vor, und Microsoft hatte sein Advisory nicht um einen Hinweis auf die Ausnutzung ergänzt. SecurityWeek hat das Unternehmen um eine Stellungnahme gebeten.

Angesichts des Schweregrads, der möglichen laufenden Ausnutzung und der Vorgeschichte von Windows Netlogon als Angriffsziel wird Organisationen geraten, CVE-2026-41089 so rasch wie möglich zu patchen. Der Netlogon-Dienst ist ein zentraler Hintergrunddienst, der die Authentifizierung in domänenbasierten Netzwerken abwickelt. Kritische Fehler darin können Angreifern Kontrolle über den Domänencontroller und die damit verbundenen Rechner verschaffen.