Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Windows die remote code execution mogelijk maakt. Daarvoor waarschuwt de Belgische overheid. Op 12 mei kwam Microsoft met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-41089. Het lek is aanwezig in het Windows Netlogon-onderdeel van Windows Server.

Via de kwetsbaarheid is remote code execution op domain controllers mogelijk. Hiervoor volstaat het versturen van een speciaal geprepareerd netwerk request. Er zijn geen inloggegevens of interactie van gebruikers vereist. Onderzoeker Dustin Childs van securitybedrijf ZDI stelde twee weken geleden dat organisaties deze kwetsbaarheid meteen moesten patchen. "Een gecompromitteerde domain controller is een gecompromitteerd domein." Daarnaast merkte Childs op dat een computerworm zich via het lek zou kunnen verspreiden.

Het Belgische Centrum voor Cybersecurity laat via de eigen website weten dat aanvallers actief misbruik van het probleem maken. Verdere details zijn echter niet gegeven. In het beveiligingsbulletin over de kwetsbaarheid stelde Microsoft nog dat de kans op misbruik 'less likely' was. Volgens het Nationaal Cyber Security Centrum (NCSC) lopen met name domain controllers die toegankelijk zijn vanaf externe netwerken een hoog risico op actief misbruik van het lek. "Het verdient altijd aanbeveling om een systeem met de rol van domain controller niet publiek toegankelijk te hebben en, indien dit noodzakelijk is, additionele maatregelen te hebben genomen."