Seit drei Wochen liegt der Patch bereit. Jetzt hat Belgiens nationale Cybersicherheitsbehörde CCB bestätigt, was viele befürchtet haben: CVE-2026-41089, die kritische Schwachstelle im Windows Netlogon-Service, wird aktiv in freier Wildbahn ausgenutzt. CVSS 9,8, kein Credential nötig, SYSTEM-Rechte direkt auf dem Domain Controller — das ist kein theoretisches Szenario mehr.
Was einen Domain-Controller-Kompromiss so verheerend macht
CVE-2026-41089 liegt im Windows Netlogon-Service, dem Protokoll, über das sich Rechner gegen Active Directory authentifizieren. Ein Angreifer mit Netzwerksichtbarkeit auf den DC schickt eine speziell präparierte Netlogon-Anfrage — ohne Passwort, ohne Account, ohne jegliche Benutzerinteraktion. Der Stack-basierte Pufferüberlauf im Service führt zu Code-Ausführung mit SYSTEM-Rechten.
SYSTEM auf einem Domain Controller bedeutet in der Praxis: vollständiger Zugriff auf Active Directory. Passwort-Hashes auslesen, beliebige Admin-Konten anlegen, Kerberos-Tickets fälschen — wer so tief drin ist, besitzt die gesamte Domäne. Betroffen sind alle unterstützten Windows-Server-Versionen ab 2012, einschließlich Windows Server 2025.
Ich betreue eine Reihe von KMU-Kunden mit klassischer AD-Infrastruktur — manchen davon steht ihr einziger DC zwar hinter einer Firewall, ist aber über VPN-Endpunkte oder interne Dienste aus dem Gäste-VLAN erreichbar. Das reicht als Angriffsfläche.
Der Patch lag seit dem 12. Mai bereit — und jetzt laufen Angriffe
Microsoft hat CVE-2026-41089 während des Mai-Patchdays am 12. Mai 2026 geschlossen. Entdeckt hatte die Lücke das hauseigene WARP-Team (Windows Attack Research & Protection) — kein öffentlich bekannter Exploit vor dem Patch, kein Zero-Day im klassischen Sinne. Drei Wochen später bestätigt BleepingComputer aktive Exploitation in freier Wildbahn; die belgische CCB hat die Warnung explizit ausgesprochen: sofort patchen, DC priorisieren.
Das Muster erinnert strukturell an Zerologon (CVE-2020-1472) aus dem Jahr 2020: ebenfalls Netlogon, ebenfalls zero-auth, ebenfalls vollständige DC-Übernahme möglich. Damals hat eine erschreckend langsame Reaktionszeit das Problem noch vergrößert. Diesmal lag der Patch bereit, bevor Angriffe anliefen — das ist zumindest ein Unterschied. Domain Controller als „läuft ja, Patches kommen nächsten Monat“ zu behandeln ist bei CVSS 9,8 mit aktiver Exploitation schwer zu vertreten.
Was Admins jetzt konkret tun müssen
Priorität eins ist der Mai-2026-Patch auf allen Domain Controllern — abrufbar über Windows Update oder den Microsoft Security Update Guide. DC kommen dabei vor die allgemeine Patch-Queue, nicht ans Ende.
Daneben lohnt ein gezielter Blick auf die Netzwerksegmentierung: Wer erreicht den DC auf Port 135 und 445? Ist das tatsächlich nur, was nötig ist — oder haben sich im Laufe der Jahre ein paar Querverbindungen eingeschlichen? Netlogon-Aktivitäten im Windows Event Log sollten auch nach dem Patchen für einige Tage beobachtet werden; halbfertige Exploit-Versuche hinterlassen dort Spuren.
Wer noch Windows Server 2012 ohne Extended Security Updates betreibt, hat an dieser Stelle das größere Problem: ohne ESU gibt es keinen Patch. Das ist der Moment, in dem der Druck zur Migration greifbar wird — nicht in einem Quartalsbericht, sondern wenn der belgische Cyber-Notruf aktive Ausnutzung meldet.
