SchwachstellenHackerangriffeDatenschutz

Kritische Windows-Netlogon-Lücke wird aktiv von Angreifern ausgenutzt – sofortige Patches erforderlich

Von CyberDeutsch Redaktion
Kritische Windows-Netlogon-Lücke wird aktiv von Angreifern ausgenutzt – sofortige Patches erforderlich
Zusammenfassung

Eine kritische Sicherheitslücke im Windows-Netlogon-Dienst wird derzeit aktiv von Cyberkriminellen ausgenutzt und stellt eine ernsthafte Bedrohung dar. Die als CVE-2026-41089 katalogisierte Schwachstelle mit einem CVSS-Score von 9,8 ermöglicht es unauthentifizierten Angreifern, durch speziell präparierte Netzwerkanfragen Fernzugriff und Code-Ausführung auf betroffenen Systemen zu erlangen – insbesondere auf Windows-Servern, die als Domain Controller fungieren. Obwohl Microsoft die Lücke am 12. Mai 2026 im Rahmen seiner Patch-Tuesday-Updates schloss, warnt das belgische Zentrum für Cybersicherheit (CCB) nun vor aktiven Exploitierungen in der Praxis. Für deutsche Unternehmen und Behörden, die auf Windows-basierte Netzwerkinfrastrukturen setzen, ist dies besonders relevant: Die Netlogon-Authentifizierung ist zentral für die Verwaltung von Domain-basierten Netzwerken. Eine erfolgreiche Exploitation könnte Angreifern die volle Kontrolle über Domain Controller und alle angebundenen Systeme gewähren. Besonders kritisch ist dies für Behörden und Großunternehmen mit komplexen IT-Strukturen. Sofortiges Patching wird dringend empfohlen.

Die Bedrohung ist real und unmittelbar: Laut dem belgischen Cybersicherheitszentrum wird CVE-2026-41089 bereits in der freien Wildbahn angegriffen. Dabei handelt es sich um einen Stack-basierten Buffer-Overflow in Microsofts Netlogon-Dienst, den unauthentifizierte Angreifer über manipulierte Netzwerk-Requests ausnutzen können. Das Besondere: Attackierende benötigen keinerlei Zugriffsdaten oder vorherigen Zugriff auf das System.

Microsoft beschrieb die Funktionsweise in seinem offiziellen Advisory: Der Netlogon-Dienst könnte die schadhaften Anfragen fehlerhaft verarbeiten, wodurch Angreifer Code mit Systemrechten ausführen können. Besonders kritisch ist der Angriffsvektor: Domain-Controller sind direkt gefährdet, jene zentralen Server, die in vielen deutschen Unternehmen und Behörden die komplette IT-Infrastruktur steuern.

Zum Kontext: Netlogon ist kein exotisches Sicherheitsrisiko. Der Dienst hat bereits mehrfach in der Vergangenheit als Angriffsvektor gedient — etwa bei der berüchtigten Zerologon-Lücke (CVE-2020-1472). Sicherheitsexperten betonen daher die historische Gefährlichkeit dieses Bereichs.

Überraschend: Microsoft hatte die Lücke bei ihrer Veröffentlichung nicht in die Liste der Schwachstellen aufgenommen, die “wahrscheinlich in Angriffen ausgenutzt werden”. Das änderte sich durch die Warnung des CCB schlagartig. SecurityWeek berichtete von Anfragen an Microsoft zur Bestätigung der aktiven Ausnutzung, das Unternehmen hatte sich zum Zeitpunkt der Veröffentlichung noch nicht geäußert.

Für deutsche Organisationen bedeutet das unmittelbare Handlungsbedarf. Besonders kritisch sind Bundesbehörden, Finanzinstitute und große Mittelständler mit heterogenen Netzwerk-Infrastrukturen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird das Thema sicherlich in seinen nächsten Situationsberichten adressieren.

Empfehlung: Alle Windows-Systeme mit Netlogon-Diensten sollten mit höchster Priorität gepatcht werden — idealerweise noch diese Woche. Parallel dazu sollten Sicherheitsteams ihre Logs auf verdächtige Netlogon-Aktivitäten prüfen und ihr Netzwerk-Monitoring intensivieren.

Ähnliche Artikel