CVE-2026-41089: Netlogon-RCE im Domain Controller (CVSS 9.8)

Microsoft-Mai-Patchday und mittendrin ein Hammer: CVE-2026-41089 in Windows Netlogon kassiert CVSS 9.8. Pre-Auth, netzbasiert, Code-Ausführung. Wenn dein Domain Controller im Netz hängt — und das tut er per Definition — bist du betroffen.

WAS GENAU bricht hier?

Netlogon ist der Dienst, der Domänenanmeldungen, sichere Kanäle und Konto-Authentifizierung im Active Directory abwickelt. Microsoft beschreibt die Lücke als unauthentifizierten Remote-Code-Execution-Vektor über speziell präparierte Netlogon-Requests gegen einen DC. Klartext: Ein Angreifer im selben Netzsegment kann ohne gültige Credentials Code auf deinem Domain Controller ausführen.

WARUM 9.8 und nicht 10.0?

Der eine fehlende CVSS-Punkt liegt am Angriffsvektor — die Lücke setzt Netzwerk-Erreichbarkeit zum Netlogon-Dienst voraus. Praktisch heißt das: Wer im LAN sitzt oder über eine kompromittierte Workstation Layer-2-Zugriff hat, ist drin. Im Domain-Controller-Kontext bedeutet Code Execution Domain Admin. Game over.

WAS du heute tun musst — die 30-Minuten-Checkliste

Erstens: Mai-2026-Sammelupdate auf jedem Domain Controller einspielen. Zweitens: Reboots im Wartungsfenster planen — nicht morgen, sondern heute. Drittens: Netlogon-RPC-Traffic auf den DCs mit dem internen Monitoring auflisten und ungewöhnliche Quellen kennzeichnen. Viertens: Falls du noch alte Workstations mit ausgehendem RPC-Zugriff auf die DCs hast, prüfe Mikrosegmentierung.

SONST NOCH WICHTIG im Mai-Patchday

Microsoft hat insgesamt 120 Lücken gefixt, davon 17 Critical. Highlights neben Netlogon: CVE-2026-35421 in Windows GDI (heap-basierter Buffer Overflow, RCE über manipulierte EMF-Dateien) und mehrere Office-RCEs, die durch geöffnete Mail-Anhänge getriggert werden. Auch wenn das keine Zero-Days sind — Office-Lücken werden traditionell schnell aufgegriffen. FAZIT: Wer Domain Controller, Office und GDI patcht, schließt 80 Prozent des Mai-Risikos in einem Wartungsfenster.

Häufige Fragen

Welche Versionen sind betroffen?

Microsoft listet die Lücke für alle aktuell unterstützten Windows-Server-Versionen mit Domain-Controller-Rolle — Windows Server 2016, 2019, 2022 und 2025. Lokal installierte Active-Directory-Domain-Services sind das Ziel; Microsoft-Entra-ID-only-Setups sind nicht direkt betroffen, profitieren aber über hybride Konfigurationen indirekt.

Wie merke ich, ob mein DC verwundbar ist?

Wenn du den Mai-2026-Patchday auf dem Domain Controller nicht eingespielt hast, ist die Lücke offen. Prüfe das per Get-HotFix auf den Mai-KBs oder über die Update-Verwaltung. Logge ungewöhnliche Netlogon-RPC-Anfragen aus unbekannten Quellen — bisher gibt es keine bekannten Exploits in freier Wildbahn, aber der CVSS-Wert lädt zum Reverse-Engineering ein.

Wie behebe ich das Problem konkret?

Einziger sauberer Weg: das Mai-2026-Sammelupdate für die Server-Rolle einspielen. Microsoft hat keine Mitigation außerhalb des Patches dokumentiert. Wenn du nicht sofort patchen kannst, isoliere DC-Traffic auf Management-VLANs und blocke RPC- und SMB-Zugriffe aus dem Office-VLAN für die Übergangszeit.

Gab es schon aktive Angriffe?

Aktuell nicht öffentlich dokumentiert. Microsoft hat die Lücke als Critical und Exploitation „More Likely“ eingestuft. Bei einem CVSS-9.8-Pre-Auth-RCE auf einem Domain Controller ist die Latenz zwischen Patch und Exploit-Code erfahrungsgemäß kurz — handle so, als sei der Exploit morgen verfügbar.

Quellen:

NETLOGON-ALARM! CVSS 9.8 reisst JETZT JEDEN Domain Controller auf — Microsoft zwingt dich SOFORT zum Patch