InSEKurity of the Week (CW22/2026): Windows Netlogon Pre-Auth RCE auf Domain Controllern (CVE-2026-41089)

Diese Woche in unserer InSEKurity of the Week-Serie: ein kritischer Stack-basierter Buffer Overflow in Windows Netlogon, der es einem unauthentifizierten, entfernten Angreifer erlaubt, Code mit SYSTEM-Rechten auf einem Windows-Domain-Controller auszuführen — ohne Zugangsdaten, ohne Benutzerinteraktion, nur mit einer speziell gestalteten Netzwerkanfrage. Microsoft hat den Fix im Patch Tuesday vom 12. Mai 2026 ausgeliefert, doch zum Zeitpunkt der Veröffentlichung wurde die Lücke noch nicht ausgenutzt. Das änderte sich Ende Mai: Belgiens nationale Cybersicherheitsbehörde (CCB) und mehrere Hersteller bestätigten eine aktive Ausnutzung in freier Wildbahn. Eine Schwachstelle im Netlogon Remote Protocol, die eine sofortige Übernahme des Domain Controllers ermöglicht, steht klar in der Tradition von Zerologon. Wenn Sie Active Directory betreiben — und das tun nahezu alle Unternehmen — ist das Patchen Ihrer Domain Controller diese Woche das Wichtigste auf Ihrer Liste.

🚨 Zusammenfassung

• CVE-ID: CVE-2026-41089
• CVSS-3.1-Score: 9.8 (Critical)
• CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
• CWE: CWE-121 (Stack-based Buffer Overflow)
• Betroffene Software: Windows Netlogon (netlogon.dll) auf Windows Server in der Rolle eines Domain Controllers — Windows Server 2012, 2012 R2, 2016, 2019, 2022, 23H2 und 2025 (inklusive Server Core)
• Angriffsvektor: Netzwerk (entfernt, unauthentifiziert) — speziell gestaltete Netlogon-Remote-Protocol-Anfrage (MS-NRPC) an einen Domain Controller
• Authentifizierung erforderlich: Keine
• Benutzerinteraktion: Keine
• Auswirkung: Remote Code Execution als SYSTEM auf dem Domain Controller — vollständige Kompromittierung von Active Directory
• Patch-Status: ✅ Verfügbar (Microsoft, Patch Tuesday vom 12. Mai 2026)
• Veröffentlicht: 12. Mai 2026 (NVD / MSRC)
• Ausnutzungsstatus: Aktive Ausnutzung in freier Wildbahn Ende Mai 2026 bestätigt (Warnung der belgischen CCB); zum Patch-Zeitpunkt kein Zero-Day
• CISA KEV: Zum Redaktionsschluss nicht gelistet (02.06.2026); aktive Ausnutzung bereits von einem nationalen CERT gemeldet

🖥️ Was ist Windows Netlogon?

Netlogon ist die Windows-Komponente, die für die Authentifizierung von Benutzern und Maschinen gegenüber Active Directory sowie für die Aufrechterhaltung des sicheren Kanals zwischen Domänenmitgliedern und Domain Controllern zuständig ist. Sie ist als Dienst (Netlogon, gehostet in netlogon.dll) implementiert und über das Netlogon Remote Protocol (MS-NRPC) erreichbar — eine RPC-Schnittstelle, die jeder Domain Controller bereitstellt. Netlogon verarbeitet Maschinenkonto-Passwortänderungen, NTLM-Pass-Through-Authentifizierung, DC-Locator-Abfragen und den Aufbau des sicheren Kanals, der das Vertrauen innerhalb einer Domäne untermauert.

Da Netlogon ein zentrales Authentifizierungs-Primitiv ist, lauscht es immer auf jedem Domain Controller. Die MS-NRPC-Schnittstelle ist über RPC erreichbar — sowohl über die Named Pipe \PIPE\NETLOGON via SMB (TCP/445) als auch über dynamisch zugewiesene RPC-Ports, die der Endpoint Mapper (TCP/135) vermittelt. Es gibt keine Option zum “Abschalten”: Eine funktionierende Active-Directory-Domäne setzt voraus, dass Netlogon für jeden Mitgliedshost verfügbar ist. Genau das machte die Zerologon-Lücke von 2020 (CVE-2020-1472) so verheerend — und CVE-2026-41089 sitzt im selben Protokoll.

Typische Anwendungsfälle

• Maschinenauthentifizierung: Domänenmitglieder nutzen den sicheren Kanal von Netlogon, um sich gegenüber der Domäne zu authentifizieren und ihre Maschinenkonto-Passwörter zu rotieren.
• NTLM-Pass-Through-Authentifizierung: Mitgliedsserver leiten NTLM-Authentifizierungsanfragen über Netlogon an einen Domain Controller weiter.
• DC-Locator: Clients fragen über Netlogon den nächstgelegenen verfügbaren Domain Controller ab.
• Vertrauensstellungen: Domänen- und Forest-übergreifende Trusts beruhen auf sicheren Netlogon-Kanälen zwischen Domain Controllern.
• Group Policy und Anmeldeverarbeitung: Interaktive und Netzwerkanmeldungen in der gesamten Domäne hängen von einem funktionsfähigen Netlogon ab.

Da Netlogon auf jedem Domain Controller zwingend erforderlich und von jedem Domänenmitglied erreichbar ist, besteht die Angriffsfläche aus jeder Active-Directory-Umgebung weltweit, die noch nicht gepatcht wurde.

🔍 Technische Analyse

Beschreibung der Schwachstelle

CVE-2026-41089 ist ein Stack-basierter Buffer Overflow (CWE-121) im Windows-Netlogon-Dienst. Laut Microsoft kann ein unauthentifizierter Angreifer eine speziell gestaltete Netlogon-Remote-Protocol-Anfrage an einen Windows-Server senden, der als Domain Controller fungiert, wodurch Netlogon die Anfrage fehlerhaft verarbeitet und vom Angreifer kontrollierten Code im Kontext des Dienstes ausführt — und dieser läuft als SYSTEM.

Die entscheidende Eigenschaft ist, dass der verwundbare Codepfad erreichbar ist, bevor die Authentifizierung abgeschlossen ist. MS-NRPC stellt Operationen bereit, die ein Aufrufer aufrufen kann, bevor ein vollständig authentifizierter sicherer Kanal eingerichtet ist (zum Beispiel der Challenge-/Negotiation-Austausch, der diesen Kanal initialisiert). Der Overflow tritt auf, während der Dienst ein vom Angreifer kontrolliertes Feld in einer dieser frühen Anfragen parst — gültige Domänen-Zugangsdaten sind also nicht erforderlich, um den Bug zu erreichen.

Ursachenanalyse (Root Cause)

1. Unbegrenzte Kopie in einen Stack-Puffer fester Größe im Netlogon-Parsing-Pfad: Ein vom Angreifer kontrolliertes Längen- oder Datenfeld aus der MS-NRPC-Anfrage wird ohne korrekte Grenzprüfung in einen Stack-Puffer kopiert (CWE-121).
2. Erreichbarkeit vor der Authentifizierung: Der betroffene Handler läuft während der frühen Netlogon-Aushandlung, bevor der sichere Kanal authentifiziert ist — der Angreifer benötigt daher keine Zugangsdaten.
3. Dienst läuft als SYSTEM: Netlogon wird in einem hochprivilegierten Kontext auf dem Domain Controller ausgeführt, sodass die Speicherbeschädigung direkt zu einer Code-Ausführung mit SYSTEM-Rechten führt — nicht zu einer eingeschränkten Dienstidentität.
4. Netzwerkerreichbare RPC-Schnittstelle: MS-NRPC ist über die Named Pipe \PIPE\NETLOGON (SMB, TCP/445) und über den Endpoint Mapper (TCP/135) erreichbar, die auf jedem Domain Controller standardmäßig geöffnet sind.
5. Keine Benutzerinteraktion und geringe Komplexität: Die Anfrage kann direkt über das Netzwerk ohne jegliche Aktion des Opfers übermittelt werden, was sich in den CVSS-Metriken AC:L / UI:N / PR:N widerspiegelt.
6. Gemeinsame Komponente über alle Windows-Server-Versionen: Dieselbe Netlogon-Implementierung wird über Server 2012 bis 2025 ausgeliefert, sodass die gesamte unterstützte Domain-Controller-Flotte betroffen ist.

Angriffsvektor

Ein typischer Ausnutzungsablauf sieht wie folgt aus:

# Schritt 1: Domain Controller in der Zielumgebung ermitteln.
# DCs stellen die Netlogon-RPC-Schnittstelle bereit; der RPC Endpoint
# Mapper auf TCP/135 und SMB auf TCP/445 sind die relevanten Einstiege.
nmap -p 135,445 --open -oG dc-candidates.gnmap 10.0.0.0/24

# Bestaetigen, dass der Host ein Domain Controller ist, indem der
# Endpoint Mapper nach der Netlogon-(MS-NRPC-)Interface-UUID abgefragt wird.
impacket-rpcdump '10.0.0.10' | grep -i -A2 "MS-NRPC\|netlogon\|12345678-1234-abcd"

# Schritt 2: An die Netlogon-RPC-Schnittstelle ueber die Named Pipe
# \PIPE\NETLOGON binden (fuer den fruehen Negotiation-Austausch ist keine
# Authentifizierung erforderlich). Denselben Transport nutzte Zerologon.
python3 - <<'PY'
# Nur illustrativ -- dies loest CVE-2026-41089 NICHT aus. Es zeigt, wie
# ein unauthentifizierter Client die MS-NRPC-Schnittstelle erreicht, die
# den verwundbaren Parser enthaelt.
from impacket.dcerpc.v5 import transport, nrpc

dc_ip   = "10.0.0.10"
dc_name = "DC01"

# Verbindung ueber SMB-Null-Session zum \PIPE\NETLOGON-Endpunkt.
binding = rf"ncacn_np:{dc_ip}[\PIPE\NETLOGON]"
rpc = transport.DCERPCTransportFactory(binding)
dce = rpc.get_dce_rpc()
dce.connect()
dce.bind(nrpc.MSRPC_UUID_NRPC)   # Bind gelingt ohne Authentifizierung

# Ein echter Exploit wuerde nun eine praeparierte Negotiation-Anfrage
# senden, deren ueberlanges Feld den festen Stack-Puffer in netlogon.dll
# ueberlaeuft.
print("[+] An MS-NRPC auf", dc_name, "gebunden - ohne Auth erreichbar")
PY

# Schritt 3: Bei erfolgreichem Overflow landet der Angreifer durch
# Kontrolle des Stacks im SYSTEM-Kontext auf dem DC. Payload ausliefern
# und die resultierende SYSTEM-Shell / das C2-Beacon entgegennehmen.
nc -nvlp 4444

Das obige Snippet ist nur illustrativ — es erreicht die MS-NRPC-Schnittstelle, löst aber CVE-2026-41089 nicht aus. Die eigentliche Lücke liegt im Parsen einer präparierten Netlogon-Anfrage; jede funktional äquivalente Anfrage, die den verwundbaren Stack-Puffer überläuft, kann den Bug erreichen.

Eine vereinfachte Sicht auf Protokollebene:

Angreifer                                      Opfer (Windows Domain Controller)
   |                                                        |
   |  RPC-Bind an MS-NRPC (\PIPE\NETLOGON ueber TCP/445)    |
   |------------------------------------------------------->|  keine Auth fuer
   |                                                        |  fruehe Aushandlung
   |  praeparierte Netlogon-Anfrage, ueberlanges Feld       |
   |------------------------------------------------------->|  netlogon.dll kopiert
   |                                                        |  Feld in festen
   |                                                        |  Stack-Puffer ohne
   |                                                        |  Grenzpruefung
   |                                                        |  => Stack Overflow
   |                                                        |
   |<-- SYSTEM-Shellcode / C2-Beacon ----------------------<|  Kontrolle ueber
   |                                                        |  Ruecksprungadresse
   v                                                        v   -> SYSTEM RCE

Ausnutzung in freier Wildbahn

• 12.05.2026 — Microsoft liefert den Fix im Patch Tuesday vom Mai 2026 aus. Zum Zeitpunkt der Veröffentlichung ist der Bug nicht öffentlich bekannt oder aktiv ausgenutzt; er wurde intern vom Windows Attack Research & Protection (WARP)-Team von Microsoft gefunden.
• Ab 13.05.2026 — Hersteller (BleepingComputer, The Hacker News, Rapid7, Action1) markieren CVE-2026-41089 als das wichtigste Element des Mai-Releases, gleichauf mit der ebenso kritischen Windows-DNS-RCE (CVE-2026-41096, ebenfalls CVSS 9.8).
• Ende Mai 2026 (CW22) — Belgiens Centre for Cybersecurity (CCB) gibt eine eigene Warnung heraus, dass Angreifer CVE-2026-41089 aktiv in freier Wildbahn ausnutzen, und fordert Administratoren auf, Domain Controller umgehend zu patchen.
• 02.06.2026 — Zum Redaktionsschluss ist die Ausnutzung von einem nationalen CERT bestätigt; die CVE ist noch nicht im CISA-KEV-Katalog gelistet, sollte aber als aktiv ausgenutzt behandelt werden.

Auswirkungen nach erfolgreicher Ausnutzung

1. SYSTEM auf einem Domain Controller: Ein erfolgreicher Exploit ist der wertvollste Brückenkopf in einer Windows-Umgebung — der Angreifer kontrolliert die Instanz, die jedes Kerberos-Ticket ausstellt und jede Anmeldung validiert.
2. Vollständige Active-Directory-Kompromittierung: Mit SYSTEM auf einem DC kann ein Angreifer die ntds.dit-Datenbank auslesen, per DCSync die Zugangsdaten jedes Kontos extrahieren (inklusive krbtgt) und Golden Tickets fälschen.
3. Domänenweite Persistenz: Mit dem krbtgt-Hash kann der Angreifer beliebig Kerberos-Tickets für jede Identität ausstellen und überdauert so Passwort-Resets einzelner Benutzer.
4. Laterale Bewegung überall: Domänen-Admin-äquivalente Kontrolle bedeutet triviale Bewegung zu jedem Mitgliedsserver und jeder Workstation in der Domäne (und über Trusts hinweg).
5. Umgehung von Schutzmaßnahmen: SYSTEM auf einem DC ermöglicht die Manipulation von Audit-Richtlinien, Group Policy und über die Domäne ausgerollten Sicherheits-Tools.
6. Denial of Service: Selbst fehlgeschlagene Ausnutzungsversuche dürften den Netlogon-Dienst zum Absturz bringen oder den DC bugchecken und damit die Authentifizierung domänenweit stören.

⚠️ Bewertung der Auswirkungen

Unmittelbare Auswirkungen

• Pre-Auth, netzwerkerreichbar, CVSS 9.8: keine Zugangsdaten, keine Benutzerinteraktion — der Angreifer benötigt lediglich Netzwerkzugriff auf einen Domain Controller.
• SYSTEM-RCE auf einem DC = Game over: Dies ist kein Brückenkopf, der einen separaten Privilege-Escalation-Schritt erfordert; es ist direkte Kontrolle über die Identitätsebene des Netzwerks.
• Riesige Angriffsfläche: Jede unterstützte Windows-Server-Version in der DC-Rolle enthält den verwundbaren Netlogon-Code.
• Zerologon-Abstammung: MS-NRPC hat schon zuvor katastrophale, massenhaft ausgenutzte Bugs hervorgebracht; Verteidiger sollten von schneller Bewaffnung und Scanning ausgehen.
• Der Patch ist der einzige dauerhafte Fix: Es gibt keine unterstützte Möglichkeit, Netlogon auf einem DC zu deaktivieren.

Betroffene Versionen

Plattform	Verwundbar	Behoben in
Windows Server 2025 (Domain Controller)	Alle Builds vor Mai 2026	Cumulative Update Mai 2026
Windows Server 2022 / 23H2 (inkl. Server Core)	Alle Builds vor Mai 2026	Cumulative Update Mai 2026
Windows Server 2019	Alle Builds vor Mai 2026	Cumulative Update Mai 2026
Windows Server 2016	Alle Builds vor Mai 2026	Cumulative Update Mai 2026
Windows Server 2012 / 2012 R2 (ESU)	Alle Builds vor Mai 2026	Monthly Rollup Mai 2026 (ESU)

Der verwundbare Codepfad ist nur auf Servern in der Domain-Controller-Rolle ausnutzbar (wo der Netlogon-RPC-Server exponiert ist). Microsofts Advisory ist die maßgebliche Quelle für den exakten KB-Artikel und die Build-Nummer pro Produkt; gleichen Sie vor dem Deployment immer mit MSRC CVE-2026-41089 ab.

Betroffene Umgebungen

• Jede Active-Directory-Domäne: jede Umgebung mit einem oder mehreren Windows-Domain-Controllern, die das Cumulative Update vom Mai 2026 (oder später) noch nicht eingespielt haben.
• Hybride AD-/Entra-Joined-Umgebungen: On-Premises-Domain-Controller bleiben betroffen, auch wenn zusätzlich Cloud-Identitäten genutzt werden.
• Multi-Forest- und Trust-Topologien: DC-zu-DC-Netlogon-Kanäle vergrößern die erreichbare Angriffsfläche über Trusts hinweg.
• Aus dem Internet erreichbare DCs (selten, aber real): jeder von nicht vertrauenswürdigen Netzen aus über TCP/135 oder TCP/445 erreichbare Domain Controller ist unmittelbar und schwerwiegend gefährdet.
• MSP / Managed AD: gemeinsam genutzte Infrastruktur vergrößert die Schadenswirkung über mehrere Kundendomänen hinweg.

Angreiferprofile

• Ransomware-Betreiber: SYSTEM auf einem Domain Controller ist die Beute, die der Massenverschlüsselung vorausgeht; diese CVE ist eine direkte Abkürzung dorthin.
• Initial-Access-Broker: eine zuverlässige Pre-Auth-DC-RCE gehört zu den wertvollsten Zugängen, die auf kriminellen Märkten gehandelt werden.
• APT-Gruppen: heimliche, zugangsdatenreiche Kontrolle über die Identitätsebene ermöglicht langfristige Spionage und Supply-Chain-Pivoting.
• Interne Angreifer: jeder Akteur mit internem Netzwerkzugriff auf einen DC (eine kompromittierte Workstation, ein böswilliger Insider) kann direkt zur Domänenherrschaft eskalieren.
• Opportunistische Scanner: sobald ein öffentlicher PoC erscheint, werden aus dem Internet und intern erreichbare DCs massenhaft durchsucht.

🛡️ Gegenmaßnahmen

Sofortmaßnahmen (Priorität 1) ⚡

1. Cumulative Update vom Mai 2026 zuerst auf jeden Domain Controller und anschließend auf alle Windows-Server einspielen:

   # Als Administrator auf jedem DC ausfuehren - aktuellen Build
   # inventarisieren und ausstehende Updates nicht-interaktiv installieren.
   # DCs sind Tier-0-Assets: vor allem anderen patchen.
   Get-ComputerInfo | Select-Object OsName, OsVersion, OsBuildNumber
   
   # Erfordert das PSWindowsUpdate-Modul:
   #   Install-Module PSWindowsUpdate -Force
   Import-Module PSWindowsUpdate
   Get-WindowsUpdate -MicrosoftUpdate -Install -AcceptAll `
       -IgnoreReboot -Verbose

2. Bestätigen, dass netlogon.dll gepatcht wurde, indem die Dateiversion mit dem Advisory-Build von Microsoft abgeglichen wird:

   # netlogon.dll liegt in %SystemRoot%\System32. Das Mai-2026-Update
   # erhoeht die FileVersion - mit dem in MSRC fuer Ihre konkrete
   # Windows-Server-Version genannten Build vergleichen.
   Get-Item C:\Windows\System32\netlogon.dll |
       Select-Object Name, VersionInfo

3. RPC-Erreichbarkeit zu Domain Controllern einschränken auf vertrauenswürdige Management- und Mitglieds-Subnetze, während die Patches ausgerollt werden:

   # Notfall-Notloesung: eingehende Verbindungen auf TCP/135 (RPC Endpoint
   # Mapper) und TCP/445 (SMB / \PIPE\NETLOGON) auf DCs auf bekannte
   # Quell-Bereiche begrenzen. Domaenenmitglieder benoetigen Netlogon
   # legitim - daher sorgfaeltig auf Ihre Client-/Server-Subnetze
   # eingrenzen und NICHT pauschal blockieren.
   New-NetFirewallRule -DisplayName "DC RPC einschraenken (CVE-2026-41089)" `
       -Direction Inbound -Action Allow -Protocol TCP `
       -LocalPort 135,445 -RemoteAddress 10.0.0.0/8 -Profile Domain
   
   New-NetFirewallRule -DisplayName "Externes DC RPC blockieren (CVE-2026-41089)" `
       -Direction Inbound -Action Block -Protocol TCP `
       -LocalPort 135,445 -Profile Any

4. Sicherstellen, dass kein Domain Controller aus dem Internet erreichbar ist auf TCP/135 oder TCP/445:

   # Von einem externen Standpunkt aus bestaetigen, dass DC-RPC-/SMB-Ports
   # NICHT exponiert sind. Jedes offene Ergebnis ist ein kritischer,
   # sofort zu behebender Befund.
   nmap -Pn -p 135,445 <oeffentliche_ip_oder_range>

5. Neustarten und verifizieren: Das Cumulative Update wird erst wirksam, nachdem die Installation abgeschlossen ist und der DC neu gestartet wurde. Patchen und starten Sie DCs in einer Reihenfolge, die die Verfügbarkeit der Authentifizierung erhält.

Erkennungsmaßnahmen 🔍

Zum Redaktionsschluss existieren keine von Microsoft veröffentlichten IoCs. Suchen Sie nach den Symptomen einer Ausnutzung: Abstürze des Netlogon-Dienstes, unerwartete SYSTEM-Aktivität auf DCs und anomaler RPC-/Netlogon-Verkehr.

# Nach Abstuerzen/Neustarts des Netlogon-Dienstes suchen - ein
# fehlgeschlagener Overflow-Versuch laesst den Dienst haeufig abstuerzen,
# bevor er gelingt.
Get-WinEvent -FilterHashtable @{
    LogName      = 'System'
    ProviderName = 'Service Control Manager'
} -MaxEvents 500 |
    Where-Object { $_.Message -match 'Netlogon' } |
    Select-Object TimeCreated, Id, Message

# Anwendungsabsturz (Event-ID 1000) mit Bezug auf netlogon.dll oder lsass
# - faulting module und Offsets auf Anzeichen einer Speicherbeschaedigung
# pruefen.
Get-WinEvent -FilterHashtable @{
    LogName      = 'Application'
    ProviderName = 'Application Error'
    Id           = 1000
} -MaxEvents 200 |
    Where-Object { $_.Message -match 'netlogon|lsass' } |
    Select-Object TimeCreated, Id, Message

# Netlogon-bezogene Ereignisse - Haeufungen fehlgeschlagener
# Secure-Channel-Aushandlungen von unerwarteten Quell-Hosts koennen einer
# Ausnutzung vorausgehen.
Get-WinEvent -LogName 'System' -MaxEvents 500 |
    Where-Object { $_.ProviderName -eq 'NETLOGON' } |
    Select-Object TimeCreated, Id, Message

EDR-/Sysmon-Hunting:

# Gezielt auf Domain Controllern jagen:
#   - Unerwartete Kindprozesse von lsass.exe / dem Netlogon-Hostprozess
#     oder neue SYSTEM-Prozesse ohne klaren Elternprozess.
#   - Neue Dienst- oder Treiberinstallationen auf DCs ausserhalb von
#     Wartungsfenstern (Sysmon Event-ID 6 / 13).
#   - DCSync-aehnliche Replikationsanfragen (DRSUAPI GetNCChanges) von
#     Hosts, die KEINE Domain Controller sind - eine klassische Signatur
#     fuer Credential-Diebstahl nach der Ausnutzung.

Netzwerkseitiges Hunting:

• Auf eingehenden TCP/135- und TCP/445-Verkehr zu Domain Controllern von Hosts alarmieren, die keine legitimen Domänenmitglieder oder Management-Stationen sind.
• Auf anomales MS-NRPC-(Netlogon-)RPC-Volumen oder fehlerhafte Netlogon-Anfragen alarmieren, sofern IDS/IPS-Abdeckung vorhanden ist.
• Auf Replikationsverkehr (DRSUAPI) achten, der von Nicht-DC-Hosts ausgeht — ein starker Indikator für DCSync nach der Ausnutzung.
• Hersteller-IDS/IPS-Signaturen für CVE-2026-41089 ausrollen, sobald verfügbar (Snort/Suricata sowie Firewall-Hersteller-Abdeckung).

Langfristige Sicherheitsverbesserungen

1. Tier-0-Patch-SLAs: Domain Controller und andere Systeme der Identitätsebene verdienen ein Critical-CVE-SLA von 24-72 Stunden, nicht die standardmäßige monatliche Kadenz.
2. DCs segmentieren und abschirmen: einschränken, welche Netze die DC-RPC-/SMB-Ports erreichen können; kein Domain Controller sollte jemals aus dem Internet erreichbar sein.
3. MS-NRPC als Kronjuwelen-Protokoll überwachen: Nach Zerologon verdient Netlogon dedizierte Erkennungsinhalte und Baselining.
4. DCSync-Erkennung erzwingen: auf Replikationsanfragen von Nicht-DC-Prinzipalen alarmieren; das fängt den häufigsten Post-Exploitation-Schritt ab.
5. Assume-Breach für die Identitätsebene: Incident Response für einen kompromittierten DC üben, inklusive doppeltem krbtgt-Reset und Forest-Recovery-Playbooks.
6. Kontinuierliche AD-Angriffspfad-Bewertung: wissen, welche Hosts DCs erreichen können und welche Identitäten zu Tier 0 pivotieren könnten, falls ein einzelner Server fällt.

🎯 Warum ist das kritisch?

1. Pre-Auth-SYSTEM-RCE auf einem Domain Controller: das folgenreichste Ergebnis, das ein einzelner Netzwerk-Bug in einer Windows-Umgebung hervorbringen kann.
2. Keine Voraussetzungen: keine Zugangsdaten, keine Benutzerinteraktion, geringe Angriffskomplexität — nur Netzwerkzugriff auf einen DC.
3. Aktive Ausnutzung bestätigt: ein nationales CERT (belgische CCB) hat gewarnt, dass Angreifer die Lücke in freier Wildbahn ausnutzen, während viele Umgebungen noch ungepatcht sind.
4. Zerologon-Abstammung: MS-NRPC hat schon zuvor massenhaft ausgenutzte, schlagzeilenträchtige Bugs hervorgebracht; Verteidiger sollten mit schneller Kommodifizierung rechnen.
5. Universelle Angriffsfläche: jede unterstützte Windows-Server-Version in der DC-Rolle ist betroffen — das ist keine Nischenkonfiguration.
6. Direkter Weg zu Ransomware und Vollkompromittierung: SYSTEM auf einem DC ist genau der Zugang, den Ransomware-Akteure und APTs brauchen, um die gesamte Domäne zu übernehmen.
7. Der Patch ist die einzige dauerhafte Antwort: Netlogon lässt sich auf einem DC nicht deaktivieren; Segmentierung und Monitoring sind Notlösungen, keine Fixes.

🚀 Zeitleiste und Disclosure

• 12.05.2026 — Microsoft veröffentlicht CVE-2026-41089 im Patch Tuesday vom Mai 2026; der Bug wurde intern vom WARP-Team von Microsoft gefunden und war zum Release nicht aktiv ausgenutzt.
• 12.05.2026 — NVD / MSRC veröffentlichen die CVSS-3.1-Bewertung: 9.8 Critical (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
• Ab 13.05.2026 — Fachpresse und Hersteller markieren die Lücke als wichtigsten Punkt des Mai-Releases, gleichauf mit der Windows-DNS-RCE (CVE-2026-41096, ebenfalls CVSS 9.8).
• Ende Mai 2026 (CW22) — Belgiens Centre for Cybersecurity (CCB) warnt vor aktiver Ausnutzung in freier Wildbahn und fordert das sofortige Patchen von Domain Controllern.
• 02.06.2026 — Ausnutzung von einem nationalen CERT bestätigt; CVE zum Redaktionsschluss noch nicht im CISA-KEV-Katalog gelistet.

🔗 Ressourcen und Referenzen

• CVE: CVE-2026-41089
• NVD: NVD — CVE-2026-41089
• MSRC-Advisory: Microsoft Security Update Guide — CVE-2026-41089
• CWE: CWE-121: Stack-based Buffer Overflow
• CISA-KEV-Katalog: Known Exploited Vulnerabilities

💼 SEKurity Unterstützt Sie

Schwachstellen wie CVE-2026-41089 sind eine Erinnerung daran, dass die Identitätsebene — Active Directory und die Domain Controller, die es betreiben — das eigentliche Kronjuwel einer Windows-Umgebung ist. Ein einzelner unauthentifizierter Bug in Netlogon lässt die Distanz zwischen “ein Angreifer in Ihrem Netzwerk” und “ein Angreifer, der Ihre gesamte Domäne besitzt” zusammenbrechen. Wir helfen Organisationen, ihre tatsächliche Exposition zu messen, zu validieren, dass Domain Controller wirklich gepatcht sind, und zu prüfen, ob eine Tier-0-Kompromittierung erkannt würde, bevor sie zu einem domänenweiten Vorfall wird. Unser Active-Directory-Penetrationstest bildet genau die Angriffspfade ab, die aus einem einzelnen Brückenkopf vollständige Domänenkontrolle machen — exakt die Kette, die diese CVE abkürzt.

Unsere Dienstleistungen

• Penetration Testing: Webanwendungen, mobile Apps (Android & iOS), SAP-Systeme, Active Directory
• Groß angelegte Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red-Team-Einsätze
• Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen

Handeln Sie jetzt — bevor es Angreifer tun.

---

Kontakt:

🌐 Website: www.sekurity.de

📧 Anfragen: www.sekurity.de/kontakt

📱 LinkedIn: SEKurity GmbH

---

Ihr SEKurity Team — Your Trusted Adversaries

Die Sicherheit Ihres Active Directory ist unser Antrieb.

---

Quellen

• CVE-2026-41089 Detail — NVD
• Windows Netlogon Remote Code Execution Vulnerability — MSRC
• Critical Windows Netlogon remote code execution flaw now exploited in attacks — BleepingComputer
• Microsoft Patches 138 Vulnerabilities, Including DNS and Netlogon RCE Flaws — The Hacker News
• Windows Netlogon 0-Click RCE Vulnerability Now Actively Exploited in the Wild — Cyber Security News
• Microsoft Windows: CVE-2026-41089 — Rapid7
• CVE-2026-41089 Netlogon RCE: Why Windows Domain Controllers Must Patch First — Windows News
• CWE-121: Stack-based Buffer Overflow — MITRE
• Known Exploited Vulnerabilities Catalog — CISA