Kritisk Zero-Click Netlogon-sårbarhed under aktivt angreb: Danske virksomheder skal handle nu

Sikkerhedsforskere og trusselsefterretningsplatforme karakteriserer sårbarheden som "ormbar" i praksis på grund af dens pre-autentificeringsegenskaber og den helt centrale rolle, domænecontrollere spiller i Windows-baseret virksomhedsidentitet . Action1's vurdering fanger risikoen præcist: "En sårbar domænecontroller kan forvandle en enkelt forfalsket netværksforespørgsel til en direkte vej til kompromittering af hele virksomheden" . Jason Kikta, CTO hos Automox, advarer om, at "halv-patchet skovstrukturer (Active Directory forests) ikke er en forsvarlig tilstand for en pre-auth DC-fejl" og råder administratorer til at begrænse Netlogon-trafik på netværkslaget som supplement til patching .

Offentlig proof-of-concept-udnyttelseskode er dukket op på GitHub, hvilket historisk set accelererer masseudnyttelse inden for 24-72 timer . Organisationer bør antage, at automatiseret scanning og angrebsværktøjer allerede cirkulerer.

Berørte Windows Server-versioner

Sårbarheden påvirker alle understøttede Windows Server-udgaver, der kører Netlogon-tjenesten, og som ikke er blevet patchet efter den 12. maj 2026 . Produktlister fra flere sikkerhedsleverandører identificerer følgende sårbare versioner :

• Windows Server 2012 og 2012 R2 (alle installationer, inklusive Server Core)
• Windows Server 2016
• Windows Server 2019 (inklusive Server Core)
• Windows Server 2022 (21H2, 22H2 og 23H2 udgaver, inklusive Server Core)
• Windows Server 2025

Problemet ligger i MS-NRPC-handleren og kan udløses via TCP-port 445 eller UDP-port 389 (CLDAP DC-locator-porten). Det betyder, at standardeksponeringen af en domænecontroller er tilstrækkelig for en angriber til at ramme den sårbare kode .

Tilgængelige opdateringer

Officielle Microsoft-sikkerhedsopdateringer

Microsoft udsendte patches til CVE-2026-41089 den 12. maj 2026 . Organisationer bør straks installere den relevante opdatering baseret på deres Windows Server-version. Rapid7's sårbarhedsdatabase lister disse KB-id'er for understøttede udgaver :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Opdater alle domænecontrollere i ét kontinuerligt vedligeholdelsesvindue, når det er operationelt muligt, da sårbarheden er pre-autentificering og akut under angreb .

0patch-mikropatch til ældre systemer

Til organisationer, der kører ældre Windows Server-installationer uden for support og derfor ikke kan modtage officielle opdateringer, har sikkerhedsfirmaet Acros Security udgivet en gratis mikropatch via deres 0patch-platform . Mikropatchen tilbyder en minimal, kirurgisk præcis rettelse: Den halverer den maksimale længde på den angriber-kontrollerede brugernavn-streng under relevant behandling, hvilket effektivt neutraliserer bufferoverløbet uden at ændre på urelaterede kodeområder .

0patch har bekræftet mikropatch-tilgængelighed for:

• Windows Server 2012 (uden ESU)
• Windows Server 2012 R2 (uden ESU)

Mikropatchen udrulles via 0patch-agenten og installeres direkte i hukommelsen uden at kræve en systemgenstart, hvilket er en fordel i miljøer, hvor genstart af domænecontrollere skal planlægges nøje. 0patch har i mange år leveret mikropatches til kritiske sårbarheder på udgåede operativsystemer som Windows Server 2008 R2, 2012 og 2012 R2 .

Akutte modforanstaltninger og retningslinjer

At patche fjerner den sårbare kodevej, men det registrerer eller fjerner ikke en angriber, der allerede kan have udnyttet CVE-2026-41089, før opdateringen blev installeret. CCB advarer udtrykkeligt om, at patching beskytter mod fremtidig udnyttelse, men afhjælper ikke et historisk kompromis .

Primære handlinger anbefalet af CCB

1. Patch straks med højeste prioritet — Installer Microsofts officielle maj 2026-opdateringer på alle domænecontrollere. Vent ikke på næste vedligeholdelsesvindue; dette er et scenarie med aktiv udnyttelse .
2. Øg overvågning og detektion — Optrap overvågningen for mistænkelig aktivitet rettet mod domænecontrollere, især usædvanlig Netlogon-trafik eller atypiske RPC- og LDAP-mønstre .
3. Antag muligt forudgående angreb — Enhver domænecontroller, der var upatchet og netværkseksponeret mellem den 12. maj og anvendelsen af patchen, bør gennemgå en grundig retsmedicinsk (forensics) undersøgelse for tegn på indtrængen .
4. Komprimer patch-vinduet — Rul patches ud på tværs af alle domænecontrollere i så få vedligeholdelsescyklusser som muligt. En halvt-patchet Active Directory-skov er en sårbar skov .
5. Gen-verificer efter patching — Kør patch-verifikationsscanninger og eksponeringsvurderinger igen for at bekræfte, at ingen sårbare domænecontrollere forbliver tilgængelige .

Supplerende defensive foranstaltninger fra eksperter

• Segmentér domænecontrollere — Begræns netværksadgang til domænecontrollere, så kun udtrykkeligt autoriseret administrations- og infrastrukturtrafik kan nå dem. Blokér Netlogon-relaterede porte (TCP 445, UDP 389) fra ikke-betroede og internetvendte segmenter ved netværksgrænsen og på interne firewalls.
• Begræns Netlogon-trafik på netværkslaget — Håndhæv adgangskontroller på netværksniveau, der begrænser, hvilke systemer der overhovedet kan starte forbindelser til domænecontrollere over de sårbare protokoller.
• Hærdning af privilegerede adgangsveje — Gennemgå og minimér antallet af konti med privilegeret adgang til domænecontrollere. Kompromittering af en domænecontrollers SYSTEM-kontekst fører ofte direkte til tyveri af legitimationsoplysninger og lateral bevægelse .
• Overvåg for post-udnyttelsesaktivitet — Hold øje med unormal serviceadfærd, uventede genstarter af domænecontrollere, LSASS-nedbrud (crashes), oprettelse af nye administratorkonti og unormale Kerberos-billettforespørgsler. Disse kan indikere udnyttelse eller efterfølgende angrebsfaser .
• Indtag en fuld "antag kompromittering"-holdning — Indtil en grundig retsmedicinsk gennemgang er fuldført, bør alle tidligere upatchede domænecontrollere behandles som potentielt kompromitterede.

Vigtig bemærkning om EPSS og risikovurdering

Selvom EPSS-sandsynligheden (Exploit Prediction Scoring System) for CVE-2026-41089 er rapporteret som 0,09% , er EPSS en probabilistisk model trænet på historiske data. Den kan ikke tage højde for aktiv udnyttelse, der allerede er bekræftet i faktiske angreb. Når en national cybersikkerhedsmyndighed som det belgiske CCB udsender en advarsel om aktiv udnyttelse, må organisationer prioritere baseret på bekræftet, reel trusselsaktivitet og ikke alene på statistiske forudsigelser.