Windows-Lücke CVE-2026-41089: Angreifer übernehmen Netzwerke ohne Login

Eine schwerwiegende Sicherheitslücke im Windows Netlogon-Dienst sorgt für Alarm bei Cybersicherheitsbehörden und Experten. Die als CVE-2026-41089 identifizierte Schwachstelle ermöglicht Angreifern die vollständige Übernahme von Unternehmensnetzwerken – ohne Authentifizierung.

Der Fehler mit einem CVSS-Schweregrad von 9,8 (maximal 10) basiert auf einem Stack-basierten Pufferüberlauf im Netlogon-Protokoll. Besonders brisant: Betroffen sind Windows-Domain-Controller, die als zentrale Instanz für Identitätsverwaltung und Sicherheit ganzer Unternehmensnetzwerke dienen. Gelingt ein Angriff, erlangt der Täter Systemrechte auf höchster Ebene.

Belgische Behörde schlägt Alarm

Anzeige: Wer die Netlogon-Lücke CVE-2026-41089 nicht priorisiert, riskiert die vollständige Netzübernahme – Angreifer sind bereits aktiv. Dieses kostenlose Handbuch liefert eine 3-Schritte-Checkliste für Patch, Monitoring und Segmentierung. Jetzt Sofort-Handbuch anfordern

Das Centre for Cybersecurity Belgium (CCB) veröffentlichte bereits am 29. Mai eine Warnung, wonach Angreifer die Lücke aktiv ausnutzen. Microsoft selbst befand sich nach eigenen Angaben noch bis zum 1. Juni in der Validierungsphase – doch Sicherheitsfirmen beobachten bereits eine zunehmende Jagd auf ungepatchte Systeme.

Der Konzern hatte den Fehler zwar im Rahmen seines Patch-Dienstags am 12. Mai behoben, zusammen mit über 130 weiteren Schwachstellen. Doch die Bedrohungslage hat sich seitdem verschärft.

Schutzmaßnahmen für Unternehmen

Sicherheitsexperten raten zur sofortigen Priorisierung der Mai-Updates. Darüber hinaus empfehlen sie:

• Isolierung und Segmentierung von Domain-Controllern im Netzwerk
• Überwachung des Netlogon-Verkehrs auf ungewöhnliche Muster
• Überprüfung der Backup-Integrität, da Domain-Controller oft erste Ziele von Ransomware-Angriffen sind

Weitere Schwachstellen im Visier

Die Dringlichkeit der Netlogon-Lücke wird durch parallele Entwicklungen unterstrichen. Erst Ende Mai veröffentlichte Oracle sein monatliches Sicherheitsupdate mit Korrekturen für 77 Schwachstellen. Zudem beobachten Forscher seit Anfang Juni ein Wiederaufleben von Angriffen auf eine Citrix NetScaler-Lücke (CVE-2026-3055), die das Abgreifen von Sitzungstoken und Zugangsdaten ermöglicht.

Android-Apps und Lieferketten-Angriffe

Anzeige: Alte Lücken wie CVE-2010-0249 werden systematisch mit neuen kombiniert – Ihr Domain-Controller ist das Ziel. Unser Playbook zeigt, wie Sie durch Segmentierung und Backup-Integritätsprüfung die Angriffsfläche minimieren. Segmentierungs-Playbook jetzt sichern

Bereits am 12. Mai hatte Microsoft zudem Schwachstellen in seinen Android-Produktivitätsapps wie Word, Excel und Copilot geschlossen. Ein in der Produktionsversion vergessenes Debug-Flag (CVE-2026-41100, -41101, -41102) hätte Access-Tokens mit anderen Apps auf dem Gerät teilen können.

Noch weiterreichender: Microsoft Threat Intelligence identifizierte eine als Miasma bezeichnete Kampagne, bei der über 30 schädliche Pakete in die npm-Registry eingeschleust wurden. Diese zielten auf Entwicklerumgebungen ab und sollten Zugangsdaten für Cloud-Dienste wie Azure, AWS und Kubernetes stehlen.

Dass auch alte Schwachstellen nicht vergessen sind, zeigt die Aufnahme einer Internet-Explorer-Lücke aus dem Jahr 2010 (CVE-2010-0249) in den Katalog bekannter ausgenutzter Sicherheitslücken der US-Behörde CISA – erst am 3. Juni. Einen Tag zuvor wurde dort bereits eine Linux-Kernel-Schwachstelle ergänzt. Angreifer kombinieren offenbar systematisch neue und alte Sicherheitslücken, um in Unternehmensnetze einzudringen.

de | wissenschaft | 69477933 |