Serangan aktif terhadap CVE-2026-41089 membuat patch Netlogon Windows Server mendadak naik ke daftar prioritas tertinggi. Celah ini sudah ditambal Microsoft, tetapi kini dinilai benar-benar dieksploitasi pada lingkungan yang belum memasang pembaruan.
Peringatan eksploitasi dari Centre for Cybersecurity Belgium pada 29 Mei memperjelas tingkat urgensinya. Risiko paling besar mengarah ke Windows Server yang belum ditambal dan berperan sebagai domain controller.
Celah yang memberi akses SYSTEM tanpa autentikasi
CVE-2026-41089 adalah stack-based buffer overflow di layanan Netlogon dengan skor CVSS 9,8. Penyerang jarak jauh yang tidak terautentikasi hanya perlu mengirim permintaan jaringan yang dibuat khusus ke server yang bertindak sebagai domain controller.
Jika eksploitasi berhasil, Netlogon akan salah menangani permintaan itu dan memberi penyerang kemampuan menjalankan kode arbitrer dengan hak SYSTEM. Kondisi ini tidak membutuhkan kredensial, tidak memerlukan interaksi pengguna, dan tidak mensyaratkan akses awal ke sistem.
Dampak besar di lingkungan Active Directory
Domain controller menjadi tulang punggung autentikasi di lingkungan Active Directory. Saat celah ini dimanfaatkan, penyerang bisa memperoleh eksekusi kode level SYSTEM langsung di domain controller.
Dampaknya bisa meluas ke kendali penuh atas domain Active Directory, pembuatan akun berhak tinggi, dan pergerakan lateral ke sistem lain yang bergantung pada controller tersebut. Jack Bicer, direktur riset kerentanan di Action1, sudah menandai celah ini saat patch dirilis dan menyebutnya membutuhkan perhatian segera.
Bicer juga memperingatkan bahwa serangan yang berhasil dapat memicu kompromi endpoint secara luas, penyebaran ransomware, pencurian kredensial, dan gangguan operasional di seluruh jaringan perusahaan. Karena itu, celah Netlogon ini dipandang jauh lebih serius daripada sekadar masalah teknis biasa.
Jarak yang berbahaya antara patch dan eksploitasi
Microsoft menambal CVE-2026-41089 pada 12 Mei dalam Patch Tuesday yang total mencakup 138 CVE. Meski tingkat keparahannya tinggi, Microsoft saat itu menilai eksploitasi “lebih kecil kemungkinannya”.
Kini, laporan ancaman di lapangan menunjukkan situasi yang berbeda. Peringatan CCB datang 17 hari setelah patch tersedia, masih dalam jendela waktu yang sering dipakai organisasi untuk siklus pembaruan 30 hari.
Itu berarti banyak lingkungan yang semula menganggap pembaruan Patch Tuesday masih bisa menunggu justru sedang terekspos. Untuk celah yang bisa memberi akses SYSTEM tanpa autentikasi, penundaan patch tidak lagi aman.
Langkah yang perlu diprioritaskan sekarang
Langkah pertama adalah memasang cumulative update 12 Mei jika belum diterapkan. Perbaikan untuk CVE-2026-41089 sudah termasuk dalam pembaruan standar Windows Server untuk semua versi yang didukung.
Setelah itu, domain controller perlu diisolasi dari paparan internet langsung. Trafik Netlogon juga perlu dibatasi hanya pada sumber internal yang terautentikasi agar peluang eksploitasi dari luar bisa dipersempit.
Tekanan untuk bergerak cepat juga meningkat karena Patch Tuesday berikutnya jatuh pada 9 Juni. Jendela kedaluwarsa sertifikat Secure Boot pada 24-27 Juni ikut menambah beban agar rollout pembaruan Mei segera diselesaikan.
Bagi organisasi yang masih menunda, kondisi ini sudah masuk kategori prioritas tertinggi. Celah Netlogon yang kini dieksploitasi aktif menempatkan domain controller yang belum ditambal dalam posisi paling berisiko.
Source: www.notebookcheck.net-
-
-
-
