Serangan yang memanfaatkan CVE-2026-41089 membuat pembaruan Windows Server untuk Netlogon masuk ke daftar paling mendesak. Celah ini sudah ditutup Microsoft, tetapi laporan di lapangan menunjukkan bahwa sistem yang belum memasang patch kini benar-benar menjadi sasaran.
Pusat Keamanan Belgia atau Centre for Cybersecurity Belgium memberi peringatan eksploitasi pada 29 Mei. Peringatan itu menegaskan bahwa risiko terbesar saat ini berada pada Windows Server yang berperan sebagai domain controller dan belum menerima pembaruan Mei.
Apa yang membuat celah ini berbahaya
CVE-2026-41089 adalah stack-based buffer overflow di layanan Netlogon dengan skor CVSS 9,8. Penyerang jarak jauh yang tidak terautentikasi hanya perlu mengirim permintaan jaringan yang dibuat khusus ke server yang menjalankan peran domain controller.
Jika eksploitasi berhasil, Netlogon akan salah memproses permintaan tersebut dan memberi penyerang kemampuan menjalankan kode arbitrer dengan hak SYSTEM. Kondisi ini tidak memerlukan kredensial, tidak membutuhkan interaksi pengguna, dan tidak mensyaratkan akses awal ke sistem.
Dampaknya menjadi jauh lebih serius karena domain controller adalah tulang punggung autentikasi di lingkungan Active Directory. Saat server inti ini berhasil ditembus, penyerang dapat memperoleh eksekusi kode level SYSTEM, lalu berpotensi meluas ke kendali penuh atas domain.
Risiko yang mengintai jaringan perusahaan
Jack Bicer, direktur riset kerentanan di Action1, sebelumnya sudah menandai celah ini ketika patch dirilis. Ia menyebut kondisi tersebut membutuhkan perhatian segera karena serangan yang berhasil dapat memicu kompromi endpoint secara luas.
Bicer juga memperingatkan adanya risiko penyebaran ransomware, pencurian kredensial, dan gangguan operasional di seluruh jaringan perusahaan. Karena itu, masalah ini dipandang jauh melampaui gangguan teknis biasa pada satu layanan Windows.
Dalam lingkungan Active Directory, celah ini juga membuka peluang bagi penyerang untuk membuat akun berhak tinggi. Dari titik itu, pergerakan lateral ke sistem lain yang bergantung pada domain controller menjadi ancaman lanjutan yang patut diwaspadai.
Jendela waktu patch yang makin sempit
Microsoft menambal CVE-2026-41089 pada 12 Mei dalam Patch Tuesday yang total mencakup 138 CVE. Saat itu, perusahaan menilai eksploitasi celah ini “lebih kecil kemungkinannya”, namun situasi di lapangan kini menunjukkan arah yang berbeda.
Peringatan dari Centre for Cybersecurity Belgium muncul 17 hari setelah patch tersedia. Waktu tersebut masih berada dalam siklus pembaruan 30 hari yang umum dipakai banyak organisasi, sehingga sebagian lingkungan yang menunda rollout kini berada dalam posisi terpapar.
Untuk celah yang dapat memberi akses SYSTEM tanpa autentikasi, penundaan tidak lagi aman. Domain controller yang belum ditambal menjadi target paling sensitif karena satu eksploitasi berhasil saja bisa berdampak ke banyak sistem lain di jaringan.
Langkah yang perlu didahulukan
Prioritas pertama adalah memasang cumulative update 12 Mei jika belum diterapkan. Perbaikan untuk CVE-2026-41089 sudah termasuk dalam pembaruan standar Windows Server untuk semua versi yang didukung.
Setelah itu, domain controller perlu dijauhkan dari paparan internet langsung. Trafik Netlogon juga sebaiknya dibatasi hanya pada sumber internal yang terautentikasi agar peluang eksploitasi dari luar dapat dipersempit.
Tekanan untuk segera bergerak semakin besar karena Patch Tuesday berikutnya jatuh pada 9 Juni. Di saat yang sama, jendela kedaluwarsa sertifikat Secure Boot pada 24-27 Juni ikut menambah urgensi agar pembaruan Mei segera diselesaikan.
Source: www.notebookcheck.net-
-
-
-
