Windows-Netlogon: Kritische Lücke CVE-2026-41089 wird aktiv ausgenutzt

Hacker nutzen derzeit eine schwerwiegende Sicherheitslücke im Windows Netlogon-Protokoll aktiv aus. Die als CVE-2026-41089 bekannte Schwachstelle ermöglicht Angreifern, ohne Benutzerinteraktion die vollständige Kontrolle über Windows-Domänencontroller zu übernehmen.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Checkliste jetzt kostenlos anfordern

Gefährlicher Pufferüberlauf bedroht Unternehmensnetzwerke

Die Sicherheitslücke wird als stack-basierter Pufferüberlauf im Microsoft Netlogon Remote Protocol (MS-NRPC) beschrieben. Mit einem CVSS-Score von 9,8 gilt sie als kritisch. Das Besondere: Der Exploit erfordert keinerlei Benutzerinteraktion und funktioniert völlig unbemerkt im Hintergrund. Betroffen sind Windows Server-Versionen von 2012 bis 2025 – eine enorme Angriffsfläche in Unternehmensnetzwerken weltweit.

Microsoft hatte die Gefahr zunächst als weniger wahrscheinlich eingestuft. Doch aktuelle Beobachtungen des CCB zeigen: Angreifer nutzen die Zero-Click-Lücke bereits erfolgreich in freier Wildbahn. Besonders brisant: Da Domänencontroller das Herzstück jeder Windows-Netzwerkumgebung bilden, können Angreifer von dort aus das gesamte Firmennetzwerk kompromittieren.

Patch verfügbar – doch viele Systeme sind noch verwundbar

Die gute Nachricht: Microsoft hat bereits reagiert. Am 12. Mai 2026 veröffentlichte der Konzern im Rahmen seines Patchdays einen Sicherheitsupdate für die Netlogon-Schwachstelle. Sicherheitsexperten betonen: Administratoren müssen die Patches auf ihren Domänencontrollern umgehend einspielen. Zusätzlich sollten diese kritischen Systeme von unsicheren Netzwerken isoliert werden.

Die Netlogon-Warnung reiht sich ein in eine Serie kritischer Windows-Sicherheitslücken der letzten Monate. Bereits Ende April wurde die aktive Ausnutzung von CVE-2026-46204 gemeldet – eine „wurmartige" Sicherheitslücke im SMBv3-Treiber (srv2.sys). Auch sie trägt einen CVSS-Score von 9,8 und wurde am 15. April in den KEV-Katalog (Known Exploited Vulnerabilities) der US-Cybersicherheitsbehörde CISA aufgenommen. Ein Patch war bereits am 12. April verfügbar.

Nur wenige Tage später, am 15. Mai 2026, folgte der Patch für eine weitere kritische SMBv3-Lücke: CVE-2026-46156. Auch sie ermöglicht die Ausführung von Code mit Systemrechten – und das durch ein einziges präpariertes Netzwerkpaket.

Frist für US-Behörden: GlobalProtect-VPN muss aktualisiert werden

Parallel zur Windows-Warnung läuft heute eine wichtige Frist für US-Bundesbehörden ab. Der 1. Juni 2026 ist der letzte Termin, um eine Sicherheitslücke in Palo Alto Networks' GlobalProtect VPN zu schließen. Die Schwachstelle CVE-2026-0257 erlaubt Angreifern, durch gefälschte Authentifizierungs-Cookies unbemerkt VPN-Verbindungen aufzubauen.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Kostenloses E-Book zur Cyber-Security sichern

Palo Alto Networks und die Sicherheitsfirma Rapid7 bestätigten, dass Angriffe bereits seit dem 17. Mai 2026 stattfinden. CISA nahm die Lücke am 29. Mai in den KEV-Katalog auf und setzte die heutige Frist für Regierungssysteme. Hotfixes und Patches stehen für mehrere PAN-OS-Versionen zur Verfügung, darunter 10.2, 11.1, 11.2 und 12.1.

Staatliche Akteure im Visier: Russische Gruppe attackiert Ukraine

Die Bedrohungslage wird durch staatlich gesteuerte Angriffe weiter verschärft. In den letzten Wochen haben russische Akteure der Gruppe UAC-0194 gezielt ukrainische Regierungsbehörden angegriffen. Sie nutzen eine NTLM-Sicherheitslücke (CVE-2024-43451) aus, die über Phishing-E-Mails mit Links zu kompromittierten Regierungsseiten verbreitet wird. Ziel ist die Installation der Schadsoftware „Spark RAT" und der Diebstahl von NTLMv2-Hashes.

Forscherstreit eskaliert: Microsoft droht Sicherheitsexperten mit Klagen

Inmitten dieser angespannten Lage kommt es zu einem Konflikt zwischen Microsoft und der unabhängigen Sicherheitsforschungs-Community. Ein Forscher unter dem Pseudonym „Nightmare Eclipse" veröffentlichte kürzlich sechs Zero-Day-Sicherheitslücken in Windows Defender und BitLocker. Darunter befindet sich „YellowKey" (CVE-2026-45585) – ein BitLocker-Bypass, der physischen Zugriff erfordert – sowie „RedSun" (CVE-2026-41091), das am 21. Mai 2026 gepatcht wurde.

Der Forscher berichtet, dass Microsoft ihm den Zugang zum Microsoft Security Response Center (MSRC) entzogen und rechtliche Schritte angedroht habe. Die Cybersicherheits-Community zeigt sich besorgt: Solcher rechtlicher Druck könnte die Zusammenarbeit gefährden, die für die Sicherheit der globalen digitalen Infrastruktur unerlässlich ist.

de | wissenschaft | 69461589 |