Peringatan Darurat: Peretas Kini Aktif Menyerang Domain Controller via Celah Windows Netlogon Tanpa Klik

Para peneliti keamanan dan platform intelijen ancaman mengategorikan kerentanan ini sebagai wormable secara praktis karena dapat dieksploitasi sebelum autentikasi dan peran sentral domain controller dalam identitas perusahaan berbasis Windows . Action1 merangkum risikonya dengan tajam: “Sebuah domain controller yang rentan bisa mengubah satu permintaan jaringan khusus menjadi jalan langsung menuju kompromi perusahaan” . Jason Kikta, CTO di Automox, memperingatkan bahwa “forest yang setengah ditambal bukanlah kondisi yang bisa dipertahankan untuk bug sebelum autentikasi di domain controller” dan menyarankan admin untuk membatasi lalu lintas Netlogon di lapisan jaringan selain memasang patch .

Kode proof-of-concept publik telah muncul di GitHub, yang secara historis mempercepat eksploitasi massal dalam 24-72 jam . Organisasi harus berasumsi bahwa alat pemindaian dan eksploitasi otomatis sudah beredar di dunia maya.

Versi Windows Server yang Terdampak

Kerentanan ini memengaruhi semua rilis Windows Server yang didukung dan menjalankan layanan Netlogon yang belum ditambal setelah 12 Mei 2026 . Daftar produk yang dipublikasikan oleh berbagai vendor keamanan dan NVD mengidentifikasi edisi rentan berikut :

• Windows Server 2012 dan 2012 R2 (semua instalasi, termasuk Server Core)
• Windows Server 2016
• Windows Server 2019 (termasuk Server Core)
• Windows Server 2022 (Edisi 21H2, 22H2, dan 23H2, termasuk Server Core)
• Windows Server 2025

Masalah ini ada pada handler MS-NRPC dan dapat dipicu melalui port TCP 445 (SMB) atau port UDP 389 (port pencari domain controller CLDAP). Ini berarti jalur paparan standar domain controller sudah cukup bagi penyerang untuk mencapai kode yang rentan .

Ketersediaan Patch

Update Keamanan Resmi Microsoft

Microsoft merilis patch untuk CVE-2026-41089 pada 12 Mei 2026 . Organisasi harus segera menerapkan update yang relevan untuk build Windows Server mereka. Database kerentanan Rapid7 mencantumkan pengenal KB berikut untuk distribusi yang didukung :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Patch-lah semua domain controller dalam satu jendela pemeliharaan yang ringkas jika memungkinkan secara operasional, karena kerentanan ini bersifat sebelum autentikasi dan sedang dieksploitasi secara aktif .

Micropatch 0patch untuk Sistem Lawas

Bagi organisasi yang menjalankan instalasi Windows Server yang sudah tidak didukung (end-of-support) dan tidak bisa lagi menerima update keamanan resmi Microsoft, Acros Security telah merilis micropatch gratis melalui platform 0patch mereka . Micropatch ini menawarkan perbaikan minimal dan tepat sasaran: membagi dua ukuran maksimum string nama pengguna yang dikendalikan penyerang selama pemrosesan, yang secara efektif menetralkan stack overflow tanpa mengubah jalur kode yang tidak terkait .

0patch telah mengkonfirmasi ketersediaan micropatch untuk:

• Windows Server 2012 (tanpa ESU/Lisensi Extended Security Updates)
• Windows Server 2012 R2 (tanpa ESU)

Micropatch diterapkan melalui agen 0patch dan berlaku di memori, tanpa perlu restart sistem. Ini sangat berguna di lingkungan di mana reboot domain controller harus dijadwalkan dengan cermat. 0patch telah lama menyediakan micropatch pasca-akhir-dukungan untuk kerentanan kritis di Windows Server 2008 R2, 2012, dan 2012 R2 .

Panduan Mitigasi dan Respons Mendesak

Menambal akan menghilangkan jalur kode yang rentan, tetapi tidak mendeteksi atau menghapus penyerang yang mungkin telah mengeksploitasi CVE-2026-41089 sebelum patch diterapkan. CCB secara eksplisit memperingatkan bahwa patch melindungi dari eksploitasi di masa depan, tetapi tidak memulihkan kompromi yang sudah terjadi sebelumnya .

Tindakan Utama dari CCB

1. Segera patch dengan prioritas tertinggi — Terapkan update Microsoft Mei 2026 ke semua domain controller. Jangan menunggu jendela pemeliharaan berikutnya: ini adalah skenario eksploitasi aktif .
2. Tingkatkan pemantauan dan deteksi — Perkuat pemantauan untuk aktivitas mencurigakan yang menargetkan domain controller, terutama lalu lintas Netlogon tidak biasa atau pola RPC dan LDAP yang atipikal .
3. Asumsikan kemungkinan kompromi sebelumnya — Domain controller apa pun yang tidak ditambal dan terpapar jaringan antara 12 Mei hingga patch diterapkan harus ditinjau secara forensik untuk mencari tanda-tanda intrusi .
4. Padatkan jendela penambalan — Lakukan patch pada semua domain controller dalam siklus pemeliharaan sesedikit mungkin. Active Directory forest yang setengah ditambal adalah forest yang bisa dieksploitasi .
5. Verifikasi ulang setelah penambalan — Jalankan ulang pemindaian verifikasi patch dan penilaian paparan untuk memastikan tidak ada domain controller rentan yang masih dapat diakses .

Langkah Pertahanan Tambahan dari Ahli

• Segmentasi domain controller — Batasi akses jaringan ke domain controller sehingga hanya lalu lintas manajemen dan infrastruktur yang diotorisasi secara eksplisit yang dapat menjangkaunya. Blokir port terkait Netlogon (TCP 445, UDP 389) dari segmen yang tidak tepercaya dan menghadap internet di perimeter jaringan dan firewall internal.
• Batasi lalu lintas Netlogon di lapisan jaringan — Selain firewall host, terapkan kontrol akses tingkat jaringan yang membatasi sistem mana saja yang dapat memulai koneksi ke domain controller melalui protokol yang rentan.
• Perkuat jalur akses istimewa — Tinjau dan minimalkan akun dengan akses istimewa ke domain controller. Kompromi konteks SYSTEM pada domain controller seringkali mengarah langsung ke pencurian kredensial dan pergerakan lateral .
• Pantau aktivitas pasca-eksploitasi — Cari perilaku layanan abnormal, reboot DC tak terduga, crash LSASS, pembuatan akun admin baru, dan permintaan tiket Kerberos anomali. Ini bisa mengindikasikan eksploitasi atau tahap serangan lanjutan .
• Adopsi postur “asumsikan sudah disusupi” penuh — Sampai tinjauan forensik menyeluruh selesai, perlakukan semua domain controller yang sebelumnya tidak ditambal sebagai berpotensi telah disusupi.

Catatan Penting: EPSS dan Persepsi Risiko

Meskipun probabilitas EPSS (Exploit Prediction Scoring System) untuk CVE-2026-41089 dilaporkan sebesar 0,09% , EPSS adalah model probabilistik yang dilatih pada data masa lalu dan tidak memperhitungkan eksploitasi aktif yang sudah dikonfirmasi dalam serangan dunia nyata. Begitu otoritas keamanan siber nasional seperti CCB mengeluarkan peringatan eksploitasi aktif, organisasi harus memprioritaskan berdasarkan aktivitas ancaman nyata yang terkonfirmasi, bukan hanya prediksi statistik semata.