Kritisk nollklicksattack på Windows Netlogon – CVE-2026-41089 utnyttjas nu aktivt

Säkerhetsforskare beskriver sårbarheten som maskliknande i praktiken på grund av att den kan utnyttjas före autentisering och den centrala roll som domänkontroller spelar i Windows-företagsidentiteter . Action1 sammanfattar risken träffande: "En sårbar domänkontroll kan förvandla ett designat nätverksanrop till en direkt väg mot ett totalt företagskomprometterande" . Jason Kikta, CTO på Automox, varnar för att "halvt patchade skogar inte är ett försvarbart tillstånd för en bugg som kan utnyttjas före autentisering" och råder administratörer att även begränsa Netlogontrafik på nätverksnivå utöver patchning .

Offentlig "proof-of-concept"-kod har dykt upp på GitHub, vilket historiskt sett påskyndar massutnyttjande inom 24–72 timmar . Organisationer bör därför utgå från att automatiserad skanning och exploateringsverktyg redan är i omlopp.

Drabbade Windows Server-versioner

Sårbarheten påverkar alla Windows Server-versioner med stöd som kör Netlogontjänsten och som inte patchats efter den 12 maj 2026 . Produktlistor från flera säkerhetsleverantörer samt NVD pekar ut följande sårbara versioner :

• Windows Server 2012 och 2012 R2 (alla installationer, inklusive Server Core)
• Windows Server 2016
• Windows Server 2019 (inklusive Server Core)
• Windows Server 2022 (21H2, 22H2 och 23H2 Edition, inklusive Server Core)
• Windows Server 2025

Problemet finns i den del som hanterar protokollet MS-NRPC och kan triggas via TCP-port 445 eller UDP-port 389 (den så kallade CLDAP DC-locator-porten). Detta innebär att de vanligaste exponeringsvägarna för domänkontroller är tillräckliga för att en angripare ska nå den sårbara kodsnutten .

Tillgängliga patchar

Officiella säkerhetsuppdateringar från Microsoft

Microsoft släppte patchar för CVE-2026-41089 den 12 maj 2026 . Organisationer bör omedelbart installera relevant uppdatering för sin Windows Server-version. Rapid7:s sårbarhetsdatabas listar följande KB-identifierare för distributioner med stöd :

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

Patcha alla domänkontroller i ett enda, sammanpressat underhållsfönster där det är operativt möjligt, eftersom sårbarheten är av typen före-autentisering och utnyttjas aktivt .

0patch-mikropatch för äldre system

För organisationer som kör Windows Server-installationer utan stöd som inte längre kan ta emot officiella säkerhetsuppdateringar från Microsoft har Acros Security släppt en gratis mikropatch via sin 0patch-plattform . Denna mikropatch erbjuder en minimal, kirurgisk lagning: den halverar den maximala storleken på den angriparkontrollerade användarnamnssträngen vid relevant bearbetning, vilket effektivt neutraliserar stackspillet utan att ändra andra, orelaterade kodvägar.

0patch har bekräftat att mikropatchen är tillgänglig för:

• Windows Server 2012 (utan ESU)
• Windows Server 2012 R2 (utan ESU)

Mikropatchen distribueras via 0patch-agenten och appliceras direkt i minnet, utan att kräva omstart av systemet. Detta kan vara värdefullt i miljöer där omstarter av domänkontroller måste schemaläggas noggrant. 0patch har under lång tid tillhandahållit mikropatchar för kritiska sårbarheter efter slutet av supporten för Windows Server 2008 R2, 2012 och 2012 R2 .

Akuta åtgärder och rekommendationer

Att patcha tar bort den sårbara kodsnutten, men det upptäcker inte nödvändigtvis en angripare som redan kan ha utnyttjat CVE-2026-41089 innan patchen installerades. CCB varnar uttryckligen för att patchning skyddar mot framtida exploatering men inte åtgärdar ett historiskt intrång . Detta kan jämföras med att byta lås efter att en inbrottstjuv redan tagit sig in – huset är fortfarande osäkert tills man genomsökt det.

Primära åtgärder enligt CCB

1. Patcha omedelbart, med högsta prioritet — Applicera Microsofts officiella uppdateringar från maj 2026 på alla domänkontroller. Vänta inte på nästa schemalagda underhållsfönster; detta är ett scenario med aktiv exploatering .
2. Utöka övervakning och detektion — Skala upp övervakningen för misstänkt aktivitet mot domänkontroller, särskilt ovanlig Netlogontrafik eller avvikande RPC- och LDAP-mönster .
3. Utgå från möjligt tidigare intrång — Varje domänkontroll som var opatchad och exponerad på nätverket mellan den 12 maj och den tidpunkt då patchen applicerades bör genomgå en forensisk granskning för tecken på intrång .
4. Korta ner patchfönstret — Gå igenom samtliga domänkontroller i så få underhållscykler som möjligt. En halvt patchad Active Directory-skog är en sårbar och utnyttjbar skog .
5. Verifiera efter patchning — Kör om skanningar för patchverifiering och exponeringsbedömning för att bekräfta att inga sårbara domänkontroller finns kvar .

Ytterligare defensiva åtgärder från experter

• Segmentera domänkontroller — Begränsa nätverksåtkomsten till domänkontroller så att endast uttryckligen auktoriserad hanterings- och infrastrukturtrafik når dem. Blockera Netlogon-relaterade portar (TCP 445, UDP 389) från ej betrodda och internetvända segment vid nätverksgränsen och i interna brandväggar.
• Begränsa Netlogontrafik på nätverkslagret — Utöver lokala brandväggar, upprätthåll åtkomstkontroller på nätverksnivå som begränsar vilka system som ens kan initiera anslutningar till domänkontroller över de sårbara protokollen.
• Härda sökvägar för privilegierad åtkomst — Se över och minimera konton med privilegierad åtkomst till domänkontroller. Ett intrång i en domänkontrolls SYSTEM-kontext leder ofta direkt till stöld av autentiseringsuppgifter och vidare lateral spridning .
• Övervaka för aktivitet efter ett intrång — Håll utkik efter onormalt tjänstebeteende, oväntade omstarter av domänkontroller, krascher i LSASS-processen, skapande av nya administratörskonton och avvikande Kerberos-biljettförfrågningar. Dessa kan tyda på exploatering eller efterföljande attacksteg .
• Anta en fullständig 'assume-breach'-inställning — Tills en grundlig forensisk granskning är slutförd, behandla alla tidigare opatchade domänkontroller som potentiellt komprometterade.

Viktigt att beakta gällande EPSS och riskuppfattning

Även om EPSS-sannolikheten (Exploit Prediction Scoring System) för CVE-2026-41089 rapporterats till 0,09 % är EPSS en probabilistisk modell tränad på historisk data. Den tar inte hänsyn till pågående aktiv exploatering som redan bekräftats i verkliga attacker. När en nationell cybersäkerhetsmyndighet som CCB utfärdar en varning om aktiv exploatering måste organisationer prioritera utifrån bekräftat verkligt hot snarare än enbart statistiska förutsägelser.