Es gibt Schwachstellen, die ein einzelnes System betreffen. Und es gibt Schwachstellen, die das Fundament einer ganzen Unternehmens-IT ins Wanken bringen. CVE-2026-41089 gehoert zur zweiten Kategorie. Microsoft hat die Luecke am 12. Mai 2026 im Rahmen des Patchdays geschlossen - doch seit dem 29. Mai warnt das Centre for Cybersecurity Belgium (CCB) vor aktiver Ausnutzung in freier Wildbahn, und seit dem 1. Juni 2026 ueberschlagen sich die Meldungen. Sicherheitsforscher nennen sie bereits den gefaehrlichsten Angriff auf die Identitaetsinfrastruktur seit Zerologon.
Wer im Maschinenraum eines mittelstaendischen Unternehmens fuer die IT verantwortlich ist, sollte diesen Artikel nicht bis morgen aufschieben. Denn das Angriffsziel ist kein Nischenprodukt, sondern der Domaenencontroller - das Herzstueck nahezu jeder Windows-basierten Unternehmensumgebung.
Was genau ist passiert?
CVE-2026-41089 ist eine stack-basierte Pufferueberlauf-Schwachstelle (CWE-121) im Windows-Netlogon-Dienst. Netlogon ist das Protokoll, ueber das sich Computer und Benutzer innerhalb einer Windows-Domaene authentifizieren - es ist also tief in der Identitaets- und Zugriffsverwaltung verankert. Microsoft bewertet die Luecke mit einem CVSS-3.1-Score von 9.8 und stuft sie als kritisch ein.
Das Beunruhigende: Die Ausnutzung erfordert keine Authentifizierung, keine vorherigen Rechte und keine Benutzerinteraktion. Ein Angreifer braucht lediglich Netzwerkzugriff auf den Netlogon-Dienst eines verwundbaren Domaenencontrollers. Mit einem einzigen praeparierten CLDAP-Paket (Connectionless Lightweight Directory Access Protocol) ueber UDP-Port 389 laesst sich Schadcode mit SYSTEM-Rechten ausfuehren - also mit den hoechstmoeglichen Privilegien auf der Maschine, die das gesamte Active Directory verwaltet.
Die technische Anatomie des Angriffs
Wer verstehen will, warum diese Luecke so verheerend ist, sollte einen Blick auf die Mechanik werfen. Der Fehler liegt in der Funktion NlGetLocalPingResponse, die einen fest dimensionierten 528-Byte-Stack-Puffer allokiert und an BuildSamLogonResponse uebergibt.
Das eigentliche Problem entsteht in der Hilfsfunktion NetpLogonPutUnicodeString: Sie interpretiert eine in Bytes angegebene Laenge faelschlicherweise als WCHAR-Zaehler (also als Anzahl von 2-Byte-Zeichen). Die Folge ist, dass jeder nachfolgende String-Schreibvorgang doppelt so viel Platz beansprucht wie vorgesehen. Da der ComputerName-Parameter vor dem Kopieren in den Stack-Puffer nicht laengengeprueft wird, kann ein Angreifer die Ruecksprungadresse ueberschreiben und den Ausfuehrungsfluss auf eingeschleusten Shellcode umleiten.
Vereinfacht gesagt: Ein einziges UDP-Paket, sorgfaeltig konstruiert, genuegt, um die Kontrolle ueber den Kontrollpunkt der gesamten Domaene zu uebernehmen. Es gibt keinen Klick, keine Phishing-Mail, kein gestohlenes Passwort als Voraussetzung - der pure Netzwerkzugriff reicht.
Warum der Vergleich mit Zerologon berechtigt ist
Wer 2020 dabei war, erinnert sich an Zerologon (CVE-2020-1472) - eine kryptografische Schwaeche im selben Netlogon-Protokoll, die es Angreifern erlaubte, das Maschinenpasswort eines Domaenencontrollers auf einen leeren Wert zu setzen. Zerologon wurde zum Synonym fuer den Albtraum jedes Identitaetsadministrators.
CVE-2026-41089 ist in mancher Hinsicht noch direkter. Waehrend Zerologon einen kryptografischen Umweg nutzte, ist die neue Luecke eine klassische Speicherkorruption - sie fuehrt unmittelbar zur Codeausfuehrung. Der Wandel von einem kryptografischen Bypass hin zu einer direkten Memory-Corruption-Schwachstelle zeigt eine besorgniserregende Konstante: Authentifizierungsdienste bleiben ein bevorzugtes Ziel, und Eingabevalidierungsfehler auf fundamentaler Ebene plagen kritische Windows-Komponenten weiterhin.
Was beide Luecken verbindet, ist die Sprengwirkung. Wer einen Domaenencontroller kompromittiert, kontrolliert die Identitaeten, Zugriffsrechte und Authentifizierung des gesamten Unternehmens. Von dort aus sind Credential-Diebstahl, Verzeichnis-Aufklaerung, Richtlinienmissbrauch, laterale Bewegung, Ransomware-Staging und die vollstaendige Active-Directory-Uebernahme nur noch Folgeschritte.
Wer ist betroffen?
CVE-2026-41089 betrifft alle aktuell unterstuetzten Windows-Server-Versionen - von Windows Server 2012 und 2012 R2 ueber 2016, 2019, 2022 und 2022 23H2 bis hin zur neuesten Version Windows Server 2025. Im Fadenkreuz stehen vor allem Server, die als Domaenencontroller konfiguriert sind, aber grundsaetzlich ist jeder Windows-Server-Host mit erreichbarem Netlogon-RPC-Interface ein potenzielles Ziel.
Fuer den deutschen Mittelstand bedeutet das: Praktisch jedes Unternehmen, das seine Benutzerverwaltung ueber Active Directory abbildet - und das ist die ueberwaeltigende Mehrheit - ist potenziell verwundbar, sofern die Mai-Patches nicht eingespielt wurden. Besonders kritisch sind Umgebungen, in denen Domaenencontroller ueber VPN erreichbar, breit im Netzwerk exponiert oder gar (in Fehlkonfigurationen) aus dem Internet ansprechbar sind.
Konkrete Handlungsempfehlungen
Diese Schwachstelle duldet keinen Aufschub. Wir empfehlen das folgende Vorgehen in dieser Reihenfolge:
1. Sofort patchen - mit Priorisierung
Spielen Sie das im Microsoft Security Update Guide referenzierte Sicherheitsupdate auf alle Domaenencontroller und Windows-Server-Hosts mit Netlogon ein. Priorisieren Sie dabei: zuerst internet-erreichbare, VPN-zugaengliche, breit erreichbare oder authentifizierungsintensive Domaenencontroller. Vergessen Sie weder beschreibbare DCs noch Read-Only-Domaenencontroller (RODCs), und ignorieren Sie keine Zweigstellen- oder Server-Core-Systeme.
2. Netzwerkzugriff einschraenken
Beschraenken Sie eingehenden Verkehr auf TCP/445 und das Netlogon-RPC-Interface auf bekannte administrative Subnetze - sowohl auf Host- als auch auf Netzwerk-Firewalls. CLDAP-Verkehr (UDP/389) an Domaenencontroller sollte ebenfalls strikt segmentiert sein. Ein Domaenencontroller hat im Internet schlicht nichts verloren.
3. Netlogon RPC Sealing und Signing erzwingen
Aktivieren Sie per Gruppenrichtlinie die Anforderungen fuer Netlogon RPC Sealing und Signing. Dies erzwingt sichere RPC-Kanaele und kann bestimmte Formen des Netlogon-Missbrauchs eindaemmen - selbst wenn der Pufferueberlauf ausgeloest wird.
4. Kompromittierung pruefen
Da die Luecke aktiv ausgenutzt wird, reicht Patchen allein nicht aus, wenn Sie zu spaet dran sind. Pruefen Sie Ihre Domaenencontroller auf Anzeichen einer Kompromittierung: ungewoehnliche Netlogon-Aktivitaeten, unerwartete neue Konten, Aenderungen an Replikationsrechten (DCSync-Indikatoren) und auffaellige laterale Bewegungen.
Die strukturelle Lektion
CVE-2026-41089 ist mehr als ein weiterer Patchday-Eintrag. Sie ist eine Erinnerung daran, dass die Identitaetsinfrastruktur das wertvollste und zugleich am haeufigsten angegriffene Ziel im Unternehmensnetz ist. Ein einziger verwundbarer Domaenencontroller kann das gesamte Sicherheitskonzept aushebeln - egal, wie gut die Endpunkte geschuetzt sind.
Genau deshalb empfehlen wir, nicht nur diese eine Luecke zu schliessen, sondern die Architektur der eigenen Identitaetsverwaltung grundsaetzlich zu ueberdenken: Tier-Modelle fuer administrative Zugriffe, strikte Netzwerksegmentierung der Domaenencontroller und kontinuierliches Monitoring der Authentifizierungswege. Wie ein solches resilientes Identitaetskonzept im Mittelstand konkret aussieht, beleuchten wir in unserem begleitenden Wissensartikel.
Bei der Bewertung Ihrer Active-Directory-Sicherheit, der Priorisierung von Patches und dem Aufbau eines belastbaren Schutzkonzepts unterstuetzt Sie das Team von pleXtec im Bereich Informationssicherheit. Sprechen Sie uns ueber unser Kontaktformular an - gerade bei aktiv ausgenutzten Schwachstellen wie dieser zaehlt jede Stunde. Einen Ueberblick ueber unser gesamtes Leistungsspektrum finden Sie unter Leistungen.
Stand: 3. Juni 2026. Die Lage zu CVE-2026-41089 entwickelt sich dynamisch. Pruefen Sie stets die offiziellen Microsoft-Advisories und die Meldungen Ihres zustaendigen CERT.
