Serangan aktif terhadap CVE-2026-41089 membuat banyak tim keamanan Windows Server harus bergerak lebih cepat dari perkiraan awal. Celah di layanan Netlogon ini sudah ditambal Microsoft tiga minggu lalu, tetapi kini dinilai benar-benar dieksploitasi pada lingkungan yang belum memasang pembaruan.
Pusat Keamanan Belgia atau Centre for Cybersecurity Belgium mengeluarkan peringatan eksploitasi pada 29 Mei. Peringatan itu langsung menaikkan tingkat risiko untuk setiap Windows Server yang belum ditambal dan berperan sebagai domain controller.
Mengapa celah ini dianggap sangat berbahaya
CVE-2026-41089 adalah stack-based buffer overflow di layanan Netlogon dengan skor CVSS 9,8. Penyerang jarak jauh yang tidak terautentikasi cukup mengirim permintaan jaringan yang dibuat khusus ke Windows Server yang bertindak sebagai domain controller.
Jika serangan berhasil, layanan Netlogon akan salah menangani permintaan itu dan memberi penyerang kemampuan mengeksekusi kode arbitrer dengan hak SYSTEM. Artinya, tidak ada kredensial yang dibutuhkan, tidak ada interaksi pengguna, dan tidak perlu akses awal ke sistem.
Dampak ke lingkungan Active Directory
Domain controller adalah tulang punggung autentikasi di lingkungan Active Directory. Jika CVE-2026-41089 berhasil dimanfaatkan, penyerang bisa memperoleh eksekusi kode level SYSTEM pada domain controller itu sendiri.
Dalam praktiknya, kondisi itu bisa membuka kendali penuh atas domain Active Directory, pembuatan akun berhak tinggi, dan pergerakan lateral ke sistem lain yang mengandalkan controller tersebut untuk autentikasi. Jack Bicer, direktur riset kerentanan di Action1, sudah menandai celah ini saat patch dirilis dan menyebutnya membutuhkan perhatian segera.
Ia juga memperingatkan bahwa serangan yang berhasil dapat memicu kompromi endpoint secara luas, penyebaran ransomware, pencurian kredensial, dan gangguan operasional di seluruh jaringan perusahaan. Risiko itu membuat celah Netlogon ini jauh lebih dari sekadar masalah teknis biasa.
Jarak antara patch dan ancaman nyata
Microsoft menambal CVE-2026-41089 pada 12 Mei dalam Patch Tuesday yang total mencakup 138 CVE. Meski tingkat keparahannya tinggi, Microsoft saat itu menilai eksploitasi “lebih kecil kemungkinannya”.
Kesenjangan antara penilaian resmi dan laporan ancaman di lapangan inilah yang mengejutkan banyak tim keamanan perusahaan. Peringatan dari CCB datang 17 hari setelah patch tersedia, masih dalam jendela waktu yang sering dipakai organisasi untuk siklus pembaruan 30 hari.
Artinya, banyak lingkungan yang menganggap pembaruan Patch Tuesday bisa menunggu kini justru berada dalam posisi terekspos. Untuk celah yang memberi akses SYSTEM tanpa autentikasi, menunda patch bukan lagi pilihan aman.
Langkah yang perlu diprioritaskan sekarang
Langkah pertama adalah memasang cumulative update 12 Mei jika belum diterapkan. Perbaikan untuk CVE-2026-41089 sudah termasuk di pembaruan standar Windows Server untuk semua versi yang didukung.
Setelah itu, domain controller perlu diisolasi dari paparan internet langsung. Lalu, trafik Netlogon harus dibatasi hanya pada sumber internal yang terautentikasi agar peluang eksploitasi dari luar bisa dipersempit.
Urgensi ini juga meningkat karena Patch Tuesday berikutnya jatuh pada 9 Juni, sementara jendela kedaluwarsa sertifikat Secure Boot pada 24-27 Juni menambah tekanan agar rollout pembaruan Mei segera dituntaskan. Bagi organisasi yang masih menunda, celah Netlogon yang kini dieksploitasi aktif ini sudah berada di kategori prioritas tertinggi.
