Windows Netlogon CVE-2026-41089 misbruikt: Prioriteitspatch nodig

CVE-2026-41089 stelt niet-geauthenticeerde aanvallers in staat om code uit te voeren op Windows-domeincontrollers met SYSTEM-privileges.

CVE-2026-41089, een kritieke Windows Netlogon-fout met CVSS 9.8, wordt nu actief uitgebuit. Ongepatchte domeincontrollers kunnen volledig op SYSTEM-niveau worden gecompromitteerd zonder dat er referenties nodig zijn.

Darryl Linington (vertaald door DeepL / Ninh Duy), Gepubliceerd 03-06-2026 🇺🇸 🇩🇪 ...

Aanvallers maken actief misbruik van een kritieke Windows Netlogon kwetsbaarheid die Microsoft drie weken geleden heeft gepatcht en waarvan het onwaarschijnlijk werd geacht dat er misbruik van zou worden gemaakt. Het Centre for Cybersecurity Belgium heeft op 29 mei een exploitatiewaarschuwing uitgegeven, waardoor het risicoprofiel voor elke ongepatchte Windows Server-omgeving die als domeincontroller wordt uitgevoerd, is verhoogd. Hoewel Microsoft op 1 juni verklaarde dat het deze claims nog aan het valideren is en zijn MSRC-portaal nog niet heeft bijgewerkt, worden beveiligingsteams dringend verzocht niet te wachten.

CVE-2026-41089 is een stack-gebaseerde bufferoverloop in de Netlogon-service met een CVSS-score van 9,8. Een niet-geauthenticeerde aanvaller op afstand stuurt een aangepast netwerkverzoek naar een Windows Server die optreedt als domeincontroller. Als dit lukt, verwerkt de Netlogon-service het verzoek verkeerd, waardoor de aanvaller willekeurige code kan uitvoeren met SYSTEM-privileges. Geen referenties. Geen interactie met de gebruiker. Geen voorafgaande toegang nodig.

Waarom de bezorgdheid

Microsoft heeft CVE-2026-41089 op 12 mei gepatcht als onderdeel van zijn May Patch Tuesday, waarbij in totaal 138 CVE's werden aangepakt. Ondanks de 9,8 ernstgraad, beoordeelde Redmond het lek op het moment van de release als "exploitatie minder waarschijnlijk". Die kloof tussen de officiële beoordeling en de echte bedreigingsrapporten is precies wat de beveiligingsteams van ondernemingen verrast.

De CCB-waarschuwing kwam 17 dagen nadat de patch was uitgebracht. Dat is ruim binnen de periode die veel patchcycli in bedrijven hanteren. Organisaties die Patch Tuesday-updates behandelen als een 30-daags uitrolschema in plaats van als een onmiddellijke prioriteit, worden momenteel blootgesteld.

Windows Netlogon CVE-2026-41089: Wat loopt er gevaar?

Domeincontrollers zijn de ruggengraat voor authenticatie van Active Directory-omgevingen. Succesvolle uitbuiting van CVE-2026-41089 geeft een aanvaller code-uitvoering op SYSTEM-niveau op de domeincontroller zelf, wat in de praktijk volledige controle over het Active Directory-domein betekent, de mogelijkheid om bevoorrechte accounts aan te maken en laterale bewegingen op elk systeem dat zich authenticeert tegen die controller.

Jack Bicer, directeur van het onderzoek naar kwetsbaarheden bij Action1, signaleerde de fout op het moment van de patch: "Deze CVE vereist onmiddellijke aandacht. Succesvolle aanvallen kunnen leiden tot het op grote schaal compromitteren van eindpunten, het inzetten van ransomware, het verzamelen van referenties en het verstoren van bedrijfsnetwerken."

Wat u kunt doen

Pas de cumulatieve update van 12 mei onmiddellijk toe als deze nog niet is uitgerold. De fix is opgenomen in de standaard Windows Server-update voor alle ondersteunde versies. Isoleer domeincontrollers van directe blootstelling aan het internet en beperk Netlogon-verkeer alleen tot geverifieerde interne bronnen. 9 juni is de volgende Patch Tuesday en het laatste updatevenster voor 24-27 juni Secure Boot certificaat waardoor het nog dringender wordt om de uitrol van mei voor die datum te voltooien.