Morten Lyhne Petersen
En sårbarhed med karakteren 9,8 lader uautoriserede angribere overtage Windows-domænecontrollere over netværket.
Microsoft frigav i tirsdags rettelser til 118 sikkerhedsfejl, men én af dem rager op over resten. CVE-2026-41089 sidder i Netlogon, den tjeneste der håndterer login og maskinkonti i alle Windows-domæner, ifølge en analyse fra Rapid7.
Fejlen er et stak-baseret bufferoverløb, og en angriber behøver hverken brugernavn, kodeord eller et klik fra et offer. En velformet netværkspakke sendt til en domænecontroller er nok.
Lykkes angrebet, kører koden med SYSTEM-rettigheder, altså de højeste mulige på maskinen. Da en domænecontroller styrer adgangen for alle andre computere i domænet, betyder det i praksis fuld kontrol over virksomhedens Windows-miljø.
Hvorfor 9,8 betyder “patch nu”
CVSS-skalaen går fra 0 til 10. En score på 9,8 ud af 10 udløses, når et hul kan udnyttes over netværket, kræver hverken konto eller interaktion fra ofret, har lav kompleksitet og rammer alle tre kerneegenskaber: fortrolighed, integritet og tilgængelighed.
Microsoft selv har vurderet sandsynligheden for aktiv udnyttelse som lav, men det er en historisk skønsvurdering, ikke en garanti. Sikkerhedsfirmaet Automox’ tekniske chef Jason Kikta advarer mod at strække udrulningen over flere uger, skriver Help Net Security: “Halvt-patchede skove er ikke en forsvarlig tilstand for en pre-auth-fejl i en domænecontroller.”
Kikta anbefaler også at indsnævre Netlogon-trafik på netværksniveau: “Domænecontrollere behøver ikke at modtage Netlogon fra vilkårlige segmenter.”
Hvilke versioner er ramt
Sårbarheden findes i Windows Server 2012 og alle nyere udgaver, oplyser Krebs on Security. Da Netlogon er en grundkomponent i Active Directory, dækker det praktisk talt enhver Windows-baseret virksomhedsinfrastruktur i drift i dag.
Det er en bredere kreds af systemer end ZeroLogon-fejlen (CVE-2020-1472) ramte tilbage i 2020. Hvor ZeroLogon krævede flere skridt for at give kontrol over en domænecontroller, lader årets fejl angriberen springe direkte til kodekørsel.
Ingen zero-days, men ikke en stille måned
Maj 2026 er ifølge Krebs den første Patch Tuesday i næsten to år uden zero-days, altså fejl, der allerede udnyttes aktivt eller er offentliggjort før rettelsen er klar.
Det er normalt et lyspunkt. I denne måned skygges det dog af Netlogon-fejlen plus en tilsvarende kritisk fejl i Windows DNS Client (CVE-2026-41096), bemærker Cisco Talos. Tilsammen rammer de to den grundlæggende rygrad i de fleste virksomhedsnetværk.
Af de 118 rettede fejl er 16 klassificeret som kritiske.
Sikkerhedsforskerne er enige om den konkrete anbefaling til driftsansvarlige: alle domænecontrollere skal opdateres i samme vedligeholdelsesvindue. En enkelt usikret server giver angriberen det fodfæste, der skal til for at bevæge sig videre ind i domænet.
