Null-klikks angrep mot domene kontrollere: Slik beskytter du deg mot CVE-2026-41089

Sikkerhetsforskere og trusseletterretningsplattformer har karakterisert sårbarheten som «ormbar» i praksis på grunn av manglende autentiseringskrav og domene kontrollerens sentrale rolle i Windows-basert identitetshåndtering . Jason Kikta, teknologidirektør i Automox, advarte om at «halvpatchede skoger ikke er en forsvarlig tilstand for en pre-auth [domene kontroller]-feil» og rådet IT-team til å begrense Netlogon-trafikk på nettverkslaget i tillegg til å patche .

Offentlig konseptbevis (PoC) for utnyttelse har dukket opp på GitHub, noe som historisk akselererer masseutnyttelse innen 24–72 timer . Organisasjoner bør anta at automatiserte skanne- og angrepsverktøy allerede sirkulerer.

Hvilke Windows Server-versjoner er rammet?

Sårbarheten berører alle støttede Windows Server-versjoner som kjører Netlogon-tjenesten, og som ikke er patchet etter 12. mai 2026 . Dette inkluderer :

• Windows Server 2012 og 2012 R2 (alle installasjoner, inkludert Server Core)
• Windows Server 2016
• Windows Server 2019 (inkludert Server Core)
• Windows Server 2022 (21H2, 22H2 og 23H2 Editions, inkludert Server Core)
• Windows Server 2025

Feilen ligger i MS-NRPC-håndtereren og kan utløses via TCP-port 445 eller UDP-port 389 (CLDAP DC-locator-porten), noe som betyr at standard eksponeringsveier for en domene kontroller er tilstrekkelig for en angriper .

Tilgang til patcher

Offisielle Microsoft-oppdateringer

Microsoft lanserte patcher for CVE-2026-41089 tirsdag 12. mai 2026 . Norske organisasjoner bør umiddelbart installere den relevante oppdateringen for sin Windows Server-versjon. Rapid7s sårbarhetsdatabase lister følgende KB-identifikatorer :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Oppdater alle domene kontrollere i et så komprimert vedlikeholdsvindu som mulig. Siden sårbarheten angripes aktivt og ikke krever pålogging, er en «halvpatchet» skog svært sårbar .

0patch mikropatch for eldre systemer

For organisasjoner med utdaterte Windows Server-installasjoner uten utvidede sikkerhetsoppdateringer (Extended Security Updates, ESU), har Acros Security utgitt en gratis mikropatch gjennom sin 0patch-plattform . Mikropatchen halverer den maksimale strengstørrelsen for det angriperkontrollerte brukernavnet, og nøytraliserer dermed stakkoverflyten uten å endre annen kode .

0patch har bekreftet tilgjengelighet for:

• Windows Server 2012 (uten ESU)
• Windows Server 2012 R2 (uten ESU)

Mikropatchen distribueres via 0patch-agenten og legges inn i minnet uten omstart av systemet. Dette er spesielt nyttig i miljøer hvor omstart av domene kontrollere må planlegges nøye. 0patch tilbyr liknende mikropatcher for en rekke kritiske sårbarheter på Windows Server 2008 R2, 2012 og 2012 R2 .

Tiltak og responsveiledning

Patchen fjerner den sårbare kodebanen, men den oppdager eller fjerner ikke en angriper som allerede kan ha utnyttet CVE-2026-41089 før oppdateringen ble installert. CCB advarer uttrykkelig om at patching beskytter mot fremtidig utnyttelse, men ikke oppretter et historisk kompromiss .

Primære anbefalinger fra CCB

1. Patch umiddelbart med høyeste prioritet: Installer Microsofts mai-oppdateringer på alle domene kontrollere. Dette er et aktivt angrepsscenario – ikke vent til neste vedlikeholdsvindu .
2. Øk overvåking og deteksjon: Skaler opp overvåking for mistenkelig aktivitet mot domene kontrollere, spesielt uvanlig Netlogon-trafikk eller atypiske RPC- og LDAP-mønstre .
3. Anta mulig tidligere kompromiss: Enhver domene kontroller som var upatchet og nettverkseksponert mellom 12. mai og patchetidspunktet, bør granskes rettsmedisinsk for tegn på inntrengning .
4. Komprimer patchevinduet: Rull ut oppdateringer til alle domene kontrollere i så få vedlikeholdssykluser som mulig. En halvpatchet Active Directory-skog er fortsatt sårbar .
5. Verifiser på nytt etter patching: Kjør nye skanninger for å bekrefte at ingen sårbare domene kontrollere er tilgjengelige .

Ytterligere forsvarsråd fra eksperter

• Segmenter domene kontrollere: Begrens nettverkstilgangen slik at kun eksplisitt autorisert administrasjons- og infrastrukturtrafikk når dem. Blokker Netlogon-relaterte porter (TCP 445, UDP 389) fra upålitelige og internettvendte nettverkssegmenter.
• Begrens Netlogon-trafikk på nettverkslaget: I tillegg til brannmur på verten, bør du håndheve tilgangskontroller på nettverksnivå som begrenser hvilke systemer som i det hele tatt kan initiere tilkoblinger til domene kontrollerne over de sårbare protokollene.
• Sikre privilegerte tilgangsveier: Gjennomgå og begrens antall kontoer med privilegert tilgang til domene kontrollere. SYSTEM-kontekst på en domene kontroller leder ofte direkte til stjeling av autentiseringsdata og lateral bevegelse .
• Overvåk for aktivitet etter utnyttelse: Se etter unormal tjenesteatferd, uventede omstarter av domene kontrollere, LSASS-krasj, opprettelse av nye administratorkontoer og avvikende Kerberos-billettforespørsler.
• Gå inn i en «anta inntrengning»-modus: Inntil en grundig rettsmedisinsk gjennomgang er fullført, må alle tidligere upatchede domene kontrollere behandles som potensielt kompromitterte.

Viktig forbehold om EPSS

EPSS (Exploit Prediction Scoring System) har rapportert en sannsynlighet på 0,09 % for denne sårbarheten . Merk at dette er en statistisk modell trent på historiske data og ikke tar høyde for at aktiv utnyttelse allerede er bekreftet. Når en nasjonal cybersikkerhetsmyndighet utsteder et varsel om aktiv utnyttelse, må organisasjoner prioritere basert på reell, bekreftet trusselaktivitet – ikke bare på statistisk prediksjon.