Eine kritische Schwachstelle in Windows Server sorgt derzeit für hohe Aufmerksamkeit in der IT-Sicherheit. Angreifer setzen sie bereits in echten Angriffen ein, um in Netzwerke einzudringen. Betroffen ist der Netlogon-Code auf Domain Controllern.
Worum es bei der Lücke geht
Die Sicherheitslücke trägt die Kennung CVE-2026-41089. Sie steckt in einem Pufferüberlauf im Stack. Ein manipuliertes Paket an den Domain Controller reicht aus, um den Fehler auszulösen. Nach aktuellen Erkenntnissen reicht dafür schon ein präpariertes CLDAP-Paket über UDP.
Ein im Umlauf befindlicher Nachweiscode zeigt vor allem einen Absturz des LSASS-Dienstes. Die Lage bleibt dennoch ernst. Nach Microsofts Bewertung ist auch Schadcode-Ausführung möglich. Der CVSS-Wert liegt bei 9.8 von 10 Punkten.
Welche Systeme betroffen sind
Die Schwachstelle betrifft alle aktuell gepflegten Windows-Server-Versionen. Dazu gehört auch Windows Server 2025. Wer Domain Controller betreibt, sollte die Systeme sofort prüfen.
Besonders kritisch ist jeder Server, auf dem die Mai-Patches noch fehlen. Diese Updates hat Microsoft bereits am 12. Mai bereitgestellt. Wer sie nicht eingespielt hat, öffnet Angreifern ein reales Einfallstor.
Warum schnelles Handeln nötig ist
Bei aktiven Angriffen zählt jede Stunde. Ein ungepatchter Domain Controller gibt Angreifern oft Zugriff auf zentrale Dienste und Benutzerkonten. Danach sind weitere Systeme im Netz schnell gefährdet.
Wir raten daher zu einer sofortigen Prüfung der Patchstände. Prüfen Sie zuerst die betroffenen Windows-Server-Instanzen. Danach folgt der Abgleich mit den bereits eingespielten Sicherheitsupdates.
Worauf Administratoren achten sollten
Auch Protokolle liefern wichtige Hinweise. Verdächtig sind CLDAP-Anfragen mit einem ungewöhnlich langen „User“-Attribut. Ebenfalls relevant sind LSASS-Abstürze mit Event-ID 1000 und dem Hinweis auf netlogon.dll.
Wer solche Einträge findet, sollte von einem Angriff ausgehen und die Systeme genauer untersuchen. In solchen Fällen helfen eine saubere forensische Prüfung, Netzsegmentierung und eine enge Kontrolle der Anmeldeprozesse.
Was Unternehmen jetzt tun sollten
Wir empfehlen ein klares Vorgehen in drei Schritten. Erstens: Patchstand aller Windows-Server prüfen. Zweitens: Domain Controller auf auffällige Logeinträge kontrollieren. Drittens: Systeme mit Verdacht auf Kompromittierung sofort isolieren.
Gerade bei zentralen Servern geht es nicht nur um ein einzelnes Update. Es geht um den Schutz von Identitäten, Zugriffsrechten und der gesamten internen Infrastruktur. Wer hier zu spät reagiert, riskiert weitreichende Folgen für Betrieb und Daten.
Ein Fall für konsequente Wartung
Der Vorfall zeigt erneut, wie schnell aus einer einzelnen Schwachstelle ein echter Angriffspfad wird. Regelmäßige Wartung, zügige Updates und saubere Log-Checks gehören deshalb zu jeder Server-Strategie.
Wer Windows Server im Betrieb hat, sollte Sicherheitsmeldungen nicht nur lesen, sondern sofort handeln. Genau das trennt eine gut geschützte Umgebung von einer angreifbaren.
