Windows Netlogon: CVE-2026-41089 kritisch

IT-Sicherheit , , , , ,

Windows Netlogon: CVE-2026-41089 kritisch

Eine der gefährlichsten Windows-Sicherheitslücken des Jahres 2026 ist aktuell im Umlauf: CVE-2026-41089 betrifft den Netlogon-Dienst in Windows und ermöglicht Angreifern die vollständige Kontrolle über Domänencontroller – ganz ohne Anmeldedaten. Belgien hat offiziell vor der aktiv ausgenutzten Zero-Click-Lücke gewarnt.

Was ist Netlogon und warum ist diese Lücke so gefährlich?

Netlogon ist ein zentraler Windows-Dienst, der für die Authentifizierung zwischen Computern in einem Netzwerk zuständig ist – besonders in Active Directory-Umgebungen. Die jetzt entdeckte Schwachstelle ist ein Pufferüberlauf auf dem Stack (Stack-Based Buffer Overflow), der durch ein präpariertes Netzwerkpaket an den Domänencontroller ausgenutzt werden kann.

Besonders alarmierend: Die Lücke wird bereits aktiv im Wildbetrieb ausgenutzt. Das bedeutet, dass Cyberkriminelle die Schwachstelle gerade jetzt nutzen, um sich unbefugten Zugriff auf Unternehmensnetzwerke zu verschaffen.

Technische Details zu CVE-2026-41089

  • CVE-ID: CVE-2026-41089
  • CVSS-Score: 9.8 (kritisch)
  • Schwachstelle: Stack-Based Buffer Overflow
  • Betroffene Systeme: Windows Server (Domänencontroller)
  • Angriffsvektor: Netzwerk (Zero-Click, keine Interaktion nötig)
  • Ausnutzung: Aktiv im Wildbetrieb bestätigt

Der Angriff funktioniert über das Netlogon-Protokoll selbst. Ein Angreifer sendet ein speziell präpariertes Paket an den Domänencontroller und kann so Code mit Systemrechten ausführen. Da keine Authentifizierung erforderlich ist, handelt es sich um eine echte Zero-Click-Schwachstelle.

Wer ist betroffen?

Prinzipiell sind alle Organisationen mit Windows Server-Domänencontrollern gefährdet. Besonders gefährdet sind:

  • Unternehmen mit Active Directory-Infrastruktur
  • Behörden und öffentliche Einrichtungen
  • Kritische Infrastruktur (KRITIS)
  • Gesundheitswesen und Finanzdienstleister

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine Sicherheitswarnung herausgegeben und empfiehlt umgehende Patch-Maßnahmen.

Was ist zu tun? Sofortmaßnahmen

1. SOFORT patchen! Microsoft hat Sicherheitsupdates veröffentlicht. Diese müssen umgehend auf allen Domänencontrollern installiert werden.

2. Netlogon-Verkehr einschränken: Firewall-Regeln so anpassen, dass Netlogon-Verkehr nur von vertrauenswürdigen Quellen akzeptiert wird.

3. Domänencontroller isolieren: Wo möglich, Domänencontroller vom restlichen Netzwerk segmentieren.

4. Überwachung verstärken: Netlogon-Logs auf verdächtige Aktivitäten prüfen.

5. Incident Response bereit halten: Falls ein Angriff verdächtig wird, sofort die interne CERT-Struktur aktivieren.

Parallelen zu Zerologon (CVE-2020-1472)

Diese neue Lücke erinnert stark an den berüchtigten Zerologon-Angriff von 2020 (CVE-2020-1472). Damals konnte ein Angreifer durch die Nutzung von Netlogon die Passwörter von Domänencontrollern zurücksetzen. Die neue CVE-2026-41089 geht noch einen Schritt weiter und ermöglicht direkte Code-Ausführung.

Die Ähnlichkeit zeigt: Netlogon bleibt ein attraktives Ziel für Angreifer, und Sicherheitsupdates für Kerberos/Netlogon müssen mit höchster Priorität behandelt werden.

Fazit

CVE-2026-41089 ist eine der schwerwiegendsten Windows-Sicherheitslücken seit Jahren. Die Kombination aus hohem CVSS-Score (9.8), Zero-Click-Angriffsvektor und aktiver Ausnutzung im Wildbetrieb macht diese Schwachstelle zu einer akuten Bedrohung für alle Unternehmen mit Windows-Domänencontrollern.

Wer seine Domänencontroller noch nicht gepatcht hat, sollte dies unverzüglich nachholen. Die Zeit arbeitet gegen die Defender – die Angreifer sind bereits im Netzwerk.

Quellen

Schlagwort

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst