Codeausführung möglich: kritische Lücke in Windows Server wird aktiv ausgenutzt

Angreifer nutzen eine kritische Sicherheitslücke im Netlogon-Code von Windows Server aus, um in Netzwerke einzubrechen. Das meldet die belgische Cybersicherheitsbehörde CCB. Zur Attacke genügt offenbar ein manipuliertes Paket an den Domain Controller. Systemverwalter sollten schnellstmöglich prüfen, ob die im Mai durch Microsoft bereitgestellten Patches auf ihren Systemen installiert sind.

Bei der Sicherheitslücke mit der CVE-Kennung CVE-2026-41089 handelt es sich um einen Pufferüberlauf auf dem Stack, der mit einem präparierten Paket an den Domain-Controller ausgenutzt werden kann. Einem auf GitHub kursierenden angeblichen Proof-of-Concept-Exploit (PoC) zufolge steckt der Überlauf im Benutzernamen-Parameter eines über UDP versandten LDAP-Pakets (CLDAP Locator Ping). Obwohl der PoC lediglich einen Absturz des LSASS-Dienstes verursacht, ist die Einschleusung von Schadcode der Microsoft-Einschätzung zufolge ebenfalls möglich. Das erklärt auch den hohen CVSS-Punktwert von 9.8 (Einstufung kritisch).

Schnell patchen und Eindringlinge suchen

Die Sicherheitslücke betrifft alle aktuell gepflegten Versionen von Windows Server inklusive der neuesten Ausgabe, Windows Server 2025. Microsoft hat bereits am 12. Mai Patches bereitgestellt – wer diese noch nicht eingepflegt hat, sollte das schleunigst nachholen. Und prüfen, ob bereits unerwünschter Besuch auf dem ungepatchten Server unterwegs war. Dem PoC-Autoren zufolge können sie dazu in den Systemprotokollen nach CLDAP-Anfragen mit einem ungewöhnlich langen „User“-Attribut oder nach LSASS-Abstürzen mit Event-ID 1000 (netlogon.dll) suchen.

Sicherheitslücken in Microsoft-Produkten und deren Behandlung durch den Redmonder Softwareriesen sind derzeit Gegenstand hitziger Debatten in der IT-Sicherheitsszene. Die entzünden sich vor allem an Microsofts Umgang mit dem anonymen Sicherheitsforscher, der als „Chaotic Eclipse“ auftritt.

(cku)