Kritiek Windows Netlogon RCE-lek (CVE-2026-41089) nu actief aangevallen: 'Assume-breach' vereist

Beveiligingsonderzoekers omschrijven het lek als 'wormable' vanwege de pre-authenticatie-exploitatie en de centrale rol van domeincontrollers binnen de Windows Enterprise-identiteit . Action1 vat het risico kernachtig samen: "Een kwetsbare domeincontroller kan één vervaardigd netwerkverzoek omzetten in een direct pad naar een volledige bedrijfscompromittering" . Jason Kikta, CTO van Automox, waarschuwde dat "half-gepatchte forests geen verdedigbare staat zijn voor een pre-auth DC-bug" en adviseerde beheerders om Netlogon-verkeer ook op netwerkniveau te beperken .

Openbare proof-of-concept-code is op GitHub verschenen, wat historisch gezien binnen 24 tot 72 uur tot massale exploitatie leidt . Organisaties moeten ervan uitgaan dat geautomatiseerde scan- en aanvalstools al in omloop zijn.

Getroffen Windows Server-versies

De kwetsbaarheid treft alle ondersteunde Windows Server-versies met de Netlogon-service die niet ná 12 mei 2026 zijn gepatcht . Gepubliceerde productlijsten van meerdere beveiligingsleveranciers en de NVD identificeren de volgende kwetsbare edities :

• Windows Server 2012 en 2012 R2 (alle installaties, inclusief Server Core)
• Windows Server 2016
• Windows Server 2019 (inclusief Server Core)
• Windows Server 2022 (21H2, 22H2 en 23H2 Edities, inclusief Server Core)
• Windows Server 2025

Het probleem zit in de MS-NRPC-handler en is te activeren via TCP-poort 445 of UDP-poort 389 (de CLDAP DC-locatorpoort). Standaard blootstelling van een DC is dus al voldoende voor een aanvaller om het kwetsbare codepad te bereiken .

Beschikbaarheid van Patches

Officiële Microsoft-beveiligingsupdates

Microsoft heeft op 12 mei 2026 patches voor CVE-2026-41089 uitgebracht . Organisaties moeten onmiddellijk de relevante update voor hun Windows Server-build toepassen. De kwetsbaarhedendatabase van Rapid7 noemt de volgende KB-identificaties voor ondersteunde distributies :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Patch alle domeincontrollers idealiter in één aaneengesloten onderhoudsvenster, omdat de kwetsbaarheid pre-authenticatie is en actief wordt aangevallen .

0patch Micropatch voor Legacy-systemen

Voor organisaties die niet-ondersteunde Windows Server-installaties draaien en geen officiële Microsoft-updates meer kunnen ontvangen, heeft Acros Security een gratis micropatch uitgebracht via het 0patch-platform . Deze micropatch biedt een minimale, chirurgische oplossing: hij halveert de maximale grootte van de door de aanvaller gecontroleerde gebruikersnaamstring tijdens de verwerking, waardoor de stack overflow effectief wordt geneutraliseerd zonder andere code te wijzigen .

0patch heeft bevestigd dat de micropatch beschikbaar is voor:

• Windows Server 2012 (zonder ESU / Extended Security Updates)
• Windows Server 2012 R2 (zonder ESU / Extended Security Updates)

De micropatch wordt via de 0patch-agent uitgerold en wordt in het geheugen toegepast zonder dat een systeemherstart nodig is. Dit kan waardevol zijn voor omgevingen waar herstarts van DC's zorgvuldig moeten worden gepland. 0patch levert al langere tijd micropatches voor kritieke kwetsbaarheden op verouderde systemen als Windows Server 2008 R2, 2012 en 2012 R2 .

Urgente Mitigatie en Reactierichtlijnen

Patchen verwijdert het kwetsbare codepad, maar detecteert of verwijdert geen aanvaller die vóór het toepassen van de patch al misbruik heeft gemaakt van CVE-2026-41089. Het CCB waarschuwt expliciet dat patchen beschermt tegen toekomstige exploitatie, maar een historische inbraak niet herstelt .

Primaire Acties van het CCB

1. Patch onmiddellijk met hoogste prioriteit — Pas de officiële Microsoft-updates van mei 2026 toe op alle domeincontrollers. Wacht niet op het volgende onderhoudsvenster: dit is een actief-exploitatie-scenario .
2. Verhoog monitoring en detectie — Intensiveer de monitoring voor verdachte activiteiten gericht op domeincontrollers, met name ongebruikelijk Netlogon-verkeer of atypische RPC- en LDAP-patronen .
3. Ga uit van mogelijke eerdere compromittering — Elke domeincontroller die tussen 12 mei en het toepassen van de patch ongepatcht en via het netwerk bereikbaar was, moet forensisch worden onderzocht op sporen van inbraak .
4. Verklein het patchvenster — Werk alle domeincontrollers in zo min mogelijk onderhoudsmomenten bij. Een half-gepatchte Active Directory-forest is een kwetsbare forest .
5. Herverifieer na patchen — Voer na het patchen opnieuw patch-verificatiescans en blootstellingsbeoordelingen uit om te bevestigen dat er geen kwetsbare DC's meer bereikbaar zijn .

Aanvullende Deskundige Verdedigingsmaatregelen

• Segmenteer domeincontrollers — Beperk netwerktoegang tot DC's zodat alleen expliciet geautoriseerd beheer- en infrastructuurverkeer hen kan bereiken. Blokkeer Netlogon-gerelateerde poorten (TCP 445, UDP 389) vanaf onbetrouwbare en internetgerichte segmenten op de netwerkgrens en interne firewalls.
• Beperk Netlogon-verkeer op netwerkniveau — Handhaaf, naast hostfirewalls, netwerktoegangscontroles die beperken welke systemen überhaupt verbindingen met DC's kunnen initiëren via de kwetsbare protocollen.
• Harden van geprivilegieerde toegangspaden — Controleer en minimaliseer accounts met geprivilegieerde toegang tot domeincontrollers. Een compromittering van de SYSTEEM-context van een DC leidt vaak direct tot diefstal van inloggegevens en laterale beweging .
• Monitor op post-exploitatieactiviteit — Let op abnormaal servicegedrag, onverwachte DC-herstarts, LSASS-crashes, aanmaak van nieuwe admin-accounts en afwijkende Kerberos-ticket-aanvragen. Deze kunnen duiden op exploitatie of vervolgfases van een aanval .
• Hanteer een volledige 'assume-breach'-houding — Totdat een grondige forensische controle is voltooid, moet je alle voorheen ongepatchte domeincontrollers als potentieel gecompromitteerd behandelen.

Belangrijke Kanttekening: EPSS en Perceptie

Waar de EPSS (Exploit Prediction Scoring System)-waarschijnlijkheid voor CVE-2026-41089 op 0,09% werd gerapporteerd , is het cruciaal te beseffen dat EPSS een probabilistisch model is op basis van historische data en geen rekening houdt met actieve exploitatie die al is bevestigd. Zodra een nationale cybersecurity-autoriteit zoals het CCB een waarschuwing voor actieve exploitatie uitgeeft, moeten organisaties prioriteit geven aan de bevestigde dreigingsactiviteit in de echte wereld, niet aan statistische voorspellingen.