In Microsofts Betriebssystem Windows Server wurde eine sehr schwerwiegende Sicherheitslücke entdeckt, die auf der CVSS-V3-Skala mit 9,8 von 10 Punkten fast in die höchstmögliche Bedrohungsklasse eingestuft wurde, was bedeutet, dass betroffene Systeme sofort aktualisiert werden sollten.

Die Schwachstelle betrifft den Domain Controller (DC) von Windows Server-Betriebssystemen, der standardmäßig Benutzer authentifiziert und ihnen den Zugriff auf und die Nutzung von verschiedenen Ressourcen entsprechend ihrer Berechtigungsstufe ermöglicht, aber auch unter anderem Verzeichnisdienste und zentrale Richtlinien verwaltet - eine komplexe Softwarekomponente, die für den sicheren Betrieb des Betriebssystems und des lokalen Netzwerks unerlässlich ist. In diesem Dienst wurde eine Nicht-Null-Tag-Schwachstelle gefunden, von der Microsofts Betriebssysteme für Server von Windows Server 2012 bis Windows Server 2025 betroffen sind.

Durch die Schwachstelle, die unter dem Eintrag CVE-2026-41089 läuft, kann ein Angreifer eine Reihe von böswilligen Aktionen in einem lokalen Netzwerk durchführen, indem er ein ordnungsgemäß gestaltetes UDP-Paket an den DC sendet - ohne sich vorher authentifizieren zu müssen -, was zu einem Zugriff auf Systemebene führen könnte, wodurch er Zugang zu sensiblen Daten erhält und praktisch alles auf dem Server tun kann. Sie können eine beliebige Anzahl von Benutzerkonten erstellen, ihnen beliebige Berechtigungen erteilen und auf alle Daten innerhalb dieser Domäne zugreifen, was ein ernstes Problem darstellt. In einem weniger extremen Fall kann der Angreifer auch einfach einen Neustart des DC veranlassen und so einen DDoS-Angriff durchführen, der dazu führen kann, dass der Server nicht mehr verfügbar ist.

Das Microsoft-Team hatte zuvor behauptet, dass die Details der Schwachstelle nicht offengelegt worden seien und daher keine öffentliche Ausnutzung stattgefunden habe. Seitdem ist jedoch einige Zeit vergangen, und jüngste Berichte haben gezeigt, dass funktionierender Beispielcode in den virtuellen GitHub-Foren veröffentlicht wurde, sowie Berichte, dass Cyberkriminelle die Schwachstelle aktiv angreifen.

Der Patch wurde den betroffenen Systemen im Rahmen des Patch Tuesday am 12. Mai zur Verfügung gestellt, aber in vielen Fällen wurde dieses Update einfach nicht auf potenziell betroffene Server aufgespielt, was ein großes Sicherheitsrisiko darstellen könnte. Cybersicherheitsexperten raten Systemadministratoren, die Schwachstelle wie eine wurmartige Bedrohung zu behandeln und alle betroffenen Server gleichzeitig zu aktualisieren, um sicherzustellen, dass sie alle geschützt sind und es keine Schwachstelle in der Infrastruktur gibt.

Die Entdeckung des Bugs ist Teil des Streits zwischen Microsoft und einem Spezialisten für Cyberabwehr: Chaotic Eclipse hatte zuvor eine große Anzahl von Zero-Day-Schwachstellen in Microsofts Bereich gefunden und, nachdem er keine Belohnung für die Bugs erhalten hatte, d.h. keine Einigung mit Microsofts Spezialisten erzielen konnte, damit begonnen, sie zu veröffentlichen. Der Streit ist nun so weit gediehen, dass Microsoft die Angelegenheit vor Gericht bringt, wobei der Cyberabwehrspezialist damit droht, am 14. Juli 2026 eine große Zahl von Zero-Day-Schwachstellen zu veröffentlichen, was Microsoft - und die Software-Nutzer - in eine schwierige Lage bringen könnte.