Domain controller Windows Server yang belum ditambal kini berada dalam posisi paling rawan setelah CVE-2026-41089 dilaporkan sudah dipakai untuk menyerang. Celah di layanan Netlogon ini memberi peluang eksekusi kode dengan hak SYSTEM tanpa autentikasi, sehingga patch Mei naik menjadi prioritas yang tidak bisa ditunda lagi.
Peringatan dari Centre for Cybersecurity Belgium pada 29 Mei membuat ancaman ini makin sulit diabaikan. Statusnya bukan lagi sekadar temuan keamanan yang menunggu giliran diperbaiki, melainkan celah yang sudah benar-benar dieksploitasi di lingkungan yang belum memasang pembaruan.
Mengapa celah ini berbahaya
CVE-2026-41089 merupakan stack-based buffer overflow di layanan Netlogon dengan skor CVSS 9,8. Penyerang jarak jauh yang tidak terautentikasi hanya perlu mengirim permintaan jaringan yang dibuat khusus ke server yang berperan sebagai domain controller.
Jika eksploitasi berhasil, Netlogon dapat salah menangani permintaan itu dan memberi penyerang kemampuan menjalankan kode arbitrer dengan hak SYSTEM. Kondisi ini tidak membutuhkan kredensial, tidak memerlukan interaksi pengguna, dan tidak mensyaratkan akses awal ke sistem.
Dampaknya di lingkungan Active Directory
Risiko terbesar mengarah ke Windows Server yang belum ditambal dan menjalankan fungsi domain controller. Di lingkungan Active Directory, posisi ini sangat penting karena menjadi tulang punggung autentikasi.
Saat celah ini dimanfaatkan, penyerang dapat memperoleh eksekusi kode level SYSTEM langsung di domain controller. Dari titik itu, dampaknya dapat meluas ke kendali penuh atas domain Active Directory, pembuatan akun berhak tinggi, dan pergerakan lateral ke sistem lain yang bergantung pada controller tersebut.
Peringatan dari para peneliti
Jack Bicer, direktur riset kerentanan di Action1, sudah menandai celah ini ketika patch dirilis dan menyebutnya membutuhkan perhatian segera. Ia juga memperingatkan bahwa serangan yang berhasil dapat memicu kompromi endpoint secara luas, penyebaran ransomware, pencurian kredensial, dan gangguan operasional di seluruh jaringan perusahaan.
Dengan karakteristik seperti itu, ancaman ini dipandang jauh lebih serius daripada masalah teknis biasa. Bagi organisasi yang masih menunda pembaruan, setiap hari penundaan memperbesar peluang sistem yang belum ditambal menjadi target.
Patch Mei dan jendela risiko yang sempit
Microsoft menambal CVE-2026-41089 pada 12 Mei dalam Patch Tuesday yang total mencakup 138 CVE. Meski tingkat keparahannya tinggi, saat itu Microsoft menilai eksploitasi “lebih kecil kemungkinannya”.
Situasi di lapangan kini menunjukkan gambaran berbeda. Peringatan CCB datang 17 hari setelah patch tersedia, masih dalam jendela waktu yang sering dipakai organisasi untuk siklus pembaruan 30 hari.
Itu berarti banyak lingkungan yang sebelumnya menganggap pembaruan Patch Tuesday masih bisa menunggu justru sedang terekspos. Untuk celah yang dapat memberi akses SYSTEM tanpa autentikasi, penundaan patch tidak lagi aman.
Langkah yang perlu segera dilakukan
Langkah pertama adalah memasang cumulative update 12 Mei jika belum diterapkan. Perbaikan untuk CVE-2026-41089 sudah termasuk dalam pembaruan standar Windows Server untuk semua versi yang didukung.
Setelah itu, domain controller perlu diisolasi dari paparan internet langsung. Trafik Netlogon juga perlu dibatasi hanya pada sumber internal yang terautentikasi agar peluang eksploitasi dari luar bisa dipersempit.
Tekanan untuk bergerak cepat ikut meningkat karena Patch Tuesday berikutnya jatuh pada 9 Juni. Jendela kedaluwarsa sertifikat Secure Boot pada 24-27 Juni juga menambah beban agar rollout pembaruan Mei segera diselesaikan.
Source: www.notebookcheck.net
