Cacat kritis Windows Netlogon RCE kini dieksploitasi dalam serangan

Pusat Keamanan Siber Belgia (CCB), otoritas keamanan siber nasional di negara tersebut, memperingatkan pada hari Jumat bahwa pelaku ancaman kini mengeksploitasi kerentanan kritis Windows Netlogon yang baru-baru ini ditambal dalam serangan.

Netlogon adalah antarmuka panggilan prosedur jarak jauh (RPC) dan layanan latar belakang inti Microsoft Windows Server yang mengautentikasi layanan dan pengguna di jaringan berbasis domain Windows.

Microsoft menambal kerentanan ini (CVE-2026-41089) selama Patch Selasa Mei 2026menggambarkannya sebagai buffer overflow berbasis tumpukan di Windows Netlogon yang memungkinkan penyerang tanpa hak istimewa mendapatkan eksekusi kode jarak jauh pada pengontrol domain yang ditargetkan.

“Seorang penyerang dapat mengirimkan permintaan jaringan yang dibuat khusus ke server Windows yang bertindak sebagai pengontrol domain,” katanya. “Jika berhasil, hal ini dapat menyebabkan layanan Netlogon menangani permintaan secara tidak tepat, sehingga berpotensi memungkinkan penyerang menjalankan kode pada sistem yang terpengaruh tanpa perlu masuk atau memiliki akses sebelumnya.”

CVE-2026-41089 berdampak pada semua versi Windows Server yang saat ini didukung, termasuk rilis terbaru, Windows Server 2025.

Menurut a penasehat keamanan diterbitkan oleh perusahaan pada 12 Mei, kerentanan ditemukan oleh Windows Attack Research & Protection (WARP), tim peneliti keamanan siber dan teknik ofensif internal di Microsoft.

Pada hari Jumat, otoritas keamanan siber nasional Belgia (CCB) diperingatkan bahwa penyerang sekarang secara aktif mengeksploitasi kelemahan keamanan CVE-2026-41089 dan mendesak admin untuk segera menambal server yang rentan.

“CVE-2026-41089 di #Windows #Netlogon sekarang aktif #dieksploitasi di alam liar dan dapat menyebabkan #RCE. CVSS(3.1): 9.8,” CBC memperingatkan dalam tweet hari Jumat. “Tambal secepat mungkin.”

Namun, CCB tidak memberikan rincian lebih lanjut mengenai serangan yang sedang berlangsung ini dan tidak menanggapi permintaan BleepingComputer untuk informasi lebih lanjut.

Microsoft belum memperbarui sarannya, dan juru bicara perusahaan tidak membalas email dari BleepingComputer yang meminta konfirmasi bahwa CVE-2026-41089 kini dieksploitasi secara aktif.

Dua minggu lalu, Microsoft berbagi langkah-langkah mitigasi untuk YellowKey (CVE-2026-45585), kerentanan zero-day Windows BitLocker yang memberikan akses ke drive yang dilindungi, digambarkan sebagai pintu belakang oleh peneliti keamanan anonim ‘Nightmare Eclipse,’ yang juga mengungkapkannya dan menerbitkan eksploitasi proof-of-concept (PoC).

Selama beberapa bulan terakhir, Nightmare Eclipse juga mengungkapkan hal tersebut Palu Biru (CVE-2026-33825) Dan Matahari Merah (CVE-2026-41091) peningkatan hak istimewa kelemahan zero-day (keduanya sekarang dieksploitasi dalam serangan), itu Plasma Hijau Dan MiniPlasma kelemahan eskalasi hak istimewa zero-day yang memberikan hak istimewa SISTEM, dan Batalkan pertahanan (CVE-2026-45498), satu lagi zero-day yang dapat dieksploitasi oleh penyerang dengan izin pengguna standar untuk memblokir pembaruan definisi Pertahanan Microsoft.

Awalnya, Microsoft bereaksi terhadap Nightmare Eclipse dengan ancaman tindakan hukum yang terselubungdiikuti dengan tweet pepatah bahwa perusahaan “akan bekerja sama dengan penegak hukum sebagaimana mestinya” ketika “seseorang melanggar hukum dan terlibat dalam aktivitas jahat yang menyebabkan kerugian nyata bagi pelanggan kami.”

Untuk tim TI yang bertanggung jawab mengelola infrastruktur perusahaan, BleepingComputer mengadakan webinar pada tanggal 2 Juni bertajuk “Dari peringatan hingga penyelesaian: Memperbaiki kesenjangan dalam respons insiden jaringan.“

Webinar ini akan mengeksplorasi bagaimana otomatisasi dan alur kerja cerdas dapat membantu tim menyelidiki peringatan, mengoordinasikan upaya respons, dan mempercepat penyelesaian selama insiden jaringan dan peristiwa keamanan.