Windows Netlogon CVE-2026-41089 exploité : Un correctif prioritaire est nécessaire

Les attaquants exploitent activement une vulnérabilité critique de Windows Netlogon que Microsoft a corrigée il y a trois semaines et jugée peu susceptible d'être exploitée. Le 29 mai, le Centre for Cybersecurity Belgium a émis un avertissement d'exploitation, augmentant le profil de risque pour chaque environnement Windows Server non corrigé fonctionnant en tant que contrôleur de domaine. Bien que Microsoft ait déclaré le 1er juin qu'elle était toujours en train de valider ces affirmations et qu'elle n'avait pas encore mis à jour son portail MSRC, les équipes de sécurité sont invitées à ne pas attendre.

CVE-2026-41089 est un débordement de mémoire tampon basé sur la pile dans le service Netlogon avec un score CVSS de 9.8. Un attaquant distant non authentifié envoie une requête réseau élaborée à un serveur Windows agissant en tant que contrôleur de domaine. En cas de succès, le service Netlogon traite mal la requête, ce qui permet à l'attaquant d'exécuter du code arbitraire avec les privilèges SYSTEM. Pas d'informations d'identification. Aucune interaction avec l'utilisateur. Aucun accès préalable n'est nécessaire.

Pourquoi cette inquiétude ?

Microsoft a corrigé la CVE-2026-41089 le 12 mai dans le cadre de son Patch Tuesday de mai, qui a corrigé 138 CVE au total. Malgré la note de gravité de 9,8, Redmond a estimé que l'exploitation de la faille était "moins probable" au moment de la publication du correctif. Cet écart entre l'évaluation officielle et les rapports sur les menaces réelles est exactement ce qui prend les équipes de sécurité des entreprises au dépourvu.

L'avis du CCB a été émis 17 jours après la publication du correctif. Ce délai est bien inférieur à la durée des cycles d'application des correctifs dans les entreprises. Les organisations qui traitent les mises à jour du Patch Tuesday comme un calendrier de déploiement de 30 jours plutôt que comme une priorité immédiate sont actuellement exposées.

Windows Netlogon CVE-2026-41089 : Quels sont les risques ?

Les contrôleurs de domaine constituent l'épine dorsale de l'authentification des environnements Active Directory des environnements Active Directory. L'exploitation réussie de CVE-2026-41089 permet à un attaquant d'exécuter du code de niveau SYSTÈME sur le contrôleur de domaine lui-même, ce qui signifie en pratique un contrôle total du domaine Active Directory, la possibilité de créer des comptes privilégiés et un déplacement latéral sur tous les systèmes qui s'authentifient auprès de ce contrôleur.

Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, a signalé la faille au moment de l'application du correctif : "Ce CVE nécessite une attention immédiate. Les attaques réussies peuvent conduire à une compromission généralisée des terminaux, au déploiement de ransomwares, à la collecte d'informations d'identification et à des perturbations opérationnelles sur les réseaux d'entreprise."

Ce qui peut être fait

Appliquez immédiatement la mise à jour cumulative du 12 mai si elle n'a pas été déployée. Le correctif est inclus dans la mise à jour standard de Windows Server pour toutes les versions prises en charge. Isolez les contrôleurs de domaine de toute exposition directe à Internet et limitez le trafic Netlogon aux seules sources internes authentifiées. Le 9 juin est le prochain Patch Tuesday et la dernière fenêtre de mise à jour avant le 24-27 juin La fenêtre d'expiration du certificat Secure Boot ce qui rend encore plus urgent l'achèvement du déploiement du mois de mai avant cette date.