Kritischer Zero-Click-Exploit in Windows Netlogon: Jetzt aktive Angriffe auf Domänencontroller

Sicherheitsforscher und Threat-Intelligence-Plattformen stufen diese Schwachstelle aufgrund ihrer Ausnutzbarkeit vor der Authentifizierung und der zentralen Rolle von Domänencontrollern als praktisch „wurmartig“ ein . Action1 bringt das Risiko auf den Punkt: „Ein verwundbarer Domänencontroller kann eine speziell gestaltete Netzwerkanfrage in einen direkten Pfad zur Kompromittierung des gesamten Unternehmens verwandeln“ . Jason Kikta, CTO bei Automox, warnte: „Halb gepatchte Gesamtstrukturen (Forests) sind kein verteidigungsfähiger Zustand für einen Pre-Auth-DC-Bug“ und riet Administratoren zusätzlich zum Patchen, den Netlogon-Verkehr auf Netzwerkebene einzuschränken .

Es ist öffentlich zugänglicher Proof-of-Concept-Exploit-Code auf GitHub aufgetaucht, was erfahrungsgemäß innerhalb von 24 bis 72 Stunden zu massenhafter Ausnutzung führt . Unternehmen sollten davon ausgehen, dass automatisierte Scan- und Exploit-Tools bereits im Umlauf sind.

Betroffene Windows Server Versionen

Die Schwachstelle betrifft alle unterstützten Windows Server-Versionen, die den Netlogon-Dienst ausführen und nach dem 12. Mai 2026 nicht gepatcht wurden . Veröffentlichte Produktlisten verschiedener Sicherheitsanbieter und des NVD identifizieren die folgenden verwundbaren Editionen :

• Windows Server 2012 und 2012 R2 (alle Installationen, inklusive Server Core)
• Windows Server 2016
• Windows Server 2019 (inklusive Server Core)
• Windows Server 2022 (Editionen 21H2, 22H2 und 23H2, inklusive Server Core)
• Windows Server 2025

Das Problem liegt im MS-NRPC-Handler und kann über TCP-Port 445 oder UDP-Port 389 (den CLDAP-Port zur Domänencontroller-Suche) ausgelöst werden. Das bedeutet, dass die standardmäßigen Expositionspfade von Domänencontrollern ausreichen, um den verwundbaren Codepfad zu erreichen .

Patch-Verfügbarkeit

Offizielle Microsoft-Sicherheitsupdates

Microsoft hat am 12. Mai 2026 Patches für CVE-2026-41089 veröffentlicht . Organisationen sollten umgehend das relevante Update für ihren Windows Server-Build einspielen. Die Schwachstellendatenbank von Rapid7 listet die folgenden KB-Identifikatoren für die unterstützten Distributionen auf :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Patchen Sie alle Domänencontroller nach Möglichkeit in einem einzigen, komprimierten Wartungsfenster, da die Schwachstelle vor der Authentifizierung ausnutzbar ist und aktiv angegriffen wird .

0patch-Mikropatch für Altsysteme

Für Organisationen, die Windows Server-Installationen ohne Support betreiben und keine offiziellen Microsoft-Sicherheitsupdates mehr erhalten können, hat Acros Security einen kostenlosen Mikropatch über seine 0patch-Plattform veröffentlicht . Dieser Mikropatch bietet eine minimale, chirurgische Lösung: Er halbiert die maximale Größe des vom Angreifer kontrollierten Benutzernamens während der Verarbeitung und neutralisiert so den Pufferüberlauf, ohne andere Codepfade zu verändern .

0patch hat die Verfügbarkeit des Mikropatches bestätigt für:

• Windows Server 2012 (ohne ESU)
• Windows Server 2012 R2 (ohne ESU)

Der Mikropatch wird über den 0patch-Agenten bereitgestellt und findet im Arbeitsspeicher statt, ohne einen Systemneustart zu erfordern. Dies kann in Umgebungen hilfreich sein, in denen Neustarts von Domänencontrollern sorgfältig geplant werden müssen. 0patch bietet seit langem Mikropatches für kritische Schwachstellen auf Windows Server 2008 R2, 2012 und 2012 R2 nach dem Ende des offiziellen Supports an .

Dringende Maßnahmen und Reaktionsrichtlinien

Das Patchen entfernt den verwundbaren Codepfad, aber es erkennt oder entfernt keinen Angreifer, der CVE-2026-41089 möglicherweise bereits vor der Installation des Patches ausgenutzt hat. Das CCB warnt ausdrücklich davor, dass ein Patch vor zukünftiger Ausnutzung schützt, aber keine historische Kompromittierung rückgängig macht .

Primäre Maßnahmen des CCB

1. Mit höchster Priorität sofort patchen — Spielen Sie die offiziellen Microsoft-Updates vom Mai 2026 auf allen Domänencontrollern ein. Warten Sie nicht auf das nächste Wartungsfenster: Es handelt sich um ein Szenario mit aktiver Ausnutzung .
2. Überwachung und Erkennung verstärken — Intensivieren Sie die Überwachung auf verdächtige Aktivitäten, die auf Domänencontroller abzielen, insbesondere ungewöhnlichen Netlogon-Verkehr oder atypische RPC- und LDAP-Muster .
3. Von einer möglichen vorherigen Kompromittierung ausgehen — Jeder Domänencontroller, der zwischen dem 12. Mai und dem Einspielen des Patches ungepatcht und dem Netzwerk ausgesetzt war, sollte forensisch auf Anzeichen eines Eindringens überprüft werden .
4. Patch-Fenster komprimieren — Arbeiten Sie alle Domänencontroller in so wenigen Wartungszyklen wie möglich ab. Eine halb gepatchte Active-Directory-Gesamtstruktur ist eine verwundbare Gesamtstruktur .
5. Nach dem Patchen erneut überprüfen — Führen Sie erneut Patch-Verifizierungsscans und Expositionsbewertungen durch, um zu bestätigen, dass keine verwundbaren DCs mehr erreichbar sind .

Zusätzliche Schutzmaßnahmen von Experten

• Domänencontroller segmentieren — Beschränken Sie den Netzwerkzugriff auf Domänencontroller so, dass nur explizit autorisierter Verwaltungs- und Infrastrukturverkehr sie erreicht. Blockieren Sie Netlogon-relevante Ports (TCP 445, UDP 389) von nicht vertrauenswürdigen und internetseitigen Segmenten an der Netzwerkgrenze und in internen Firewalls.
• Netlogon-Verkehr auf Netzwerkebene einschränken — Setzen Sie über Host-Firewalls hinaus netzwerkbasierte Zugriffskontrollen durch, die regeln, welche Systeme überhaupt Verbindungen zu DCs über die verwundbaren Protokolle initiieren dürfen.
• Privilegierte Zugriffspfade härten — Überprüfen und minimieren Sie Konten mit privilegiertem Zugriff auf Domänencontroller. Die Kompromittierung des SYSTEM-Kontexts eines DCs führt oft direkt zu Anmeldeinformationsdiebstahl und lateraler Bewegung im Netzwerk .
• Auf Post-Exploitation-Aktivitäten achten — Achten Sie auf abnormales Dienstverhalten, unerwartete DC-Neustarts, LSASS-Abstürze, die Erstellung neuer Administratorkonten und anomale Kerberos-Ticket-Anfragen. Dies kann auf eine Ausnutzung oder Folgephasen eines Angriffs hinweisen .
• Eine vollständige „Assume-Breach“-Haltung einnehmen — Bis eine gründliche forensische Überprüfung abgeschlossen ist, müssen alle zuvor ungepatchten Domänencontroller als potenziell kompromittiert behandelt werden.

Wichtiger Hinweis: EPSS und Wahrnehmung

Während die EPSS-Wahrscheinlichkeit (Exploit Prediction Scoring System) für CVE-2026-41089 mit 0,09 % angegeben wurde , handelt es sich bei EPSS um ein probabilistisches Modell, das auf vergangenen Daten trainiert wurde und keine aktive Ausnutzung berücksichtigt, die bereits in realen Angriffen bestätigt wurde. Sobald eine nationale Cybersicherheitsbehörde wie das CCB eine Warnung vor aktiver Ausnutzung herausgibt, müssen Unternehmen ihre Prioritäten auf der Grundlage bestätigter, realer Bedrohungsaktivitäten setzen und nicht allein auf statistischen Vorhersagen.