Op 12 mei 2026 publiceerde Microsoft een security advisory over een kritieke kwetsbaarheid in Windows Server, specifiek wanneer deze als domeincontroller fungeert. Deze kwetsbaarheid maakt het mogelijk voor een niet-geauthenticeerde aanvaller om via het netwerk willekeurige code uit te voeren met SYSTEM-rechten.

Volgens het Centre for Cybersecurity Belgium (CCB) wordt deze kwetsbaarheid momenteel actief misbruikt door kwaadwillenden. Het betreft een stack-based buffer overflow in Windows Netlogon, geregistreerd als CVE-2026-41089, met een CVSS-score van 9.8. Door speciaal opgemaakte pakketten te versturen, kan een aanvaller volledige controle over de getroffen domeincontrollers verkrijgen.

De kwetsbaarheid treft diverse versies van Windows Server, waaronder 2012, 2016 (voor build 10.0.14393.9140), 2019 (voor build 10.0.17763.8755), 2022 (voor build 10.0.20348.5074), 2022 23H2 (voor build 10.0.25398.2330) en 2025 (voor build 10.0.26100.32772). Het wordt sterk aanbevolen om getroffen Windows Server-omgevingen zo snel mogelijk te updaten om misbruik te voorkomen. Meer technische details en updates zijn beschikbaar in de security advisory van Microsoft.