CVE-2026-41089 : exploitation active de la faille RCE critique Windows Netlogon

🗓️ Contexte

Source : BleepingComputer, publié le 1er juin 2026. Le Centre pour la Cybersécurité Belgique (CCB), autorité nationale belge en cybersécurité, a émis une alerte le vendredi 30 mai 2026 signalant l’exploitation active dans la nature de la vulnérabilité CVE-2026-41089.

🔍 Détails de la vulnérabilité

• CVE : CVE-2026-41089
• Composant affecté : Windows Netlogon (service RPC d’authentification des domaines Windows)
• Type : Stack-based buffer overflow permettant une exécution de code à distance (RCE)
• Prérequis : Aucun privilège requis, aucune authentification préalable nécessaire
• Vecteur : Envoi d’une requête réseau spécialement forgée vers un contrôleur de domaine
• Score CVSS 3.1 : 9.8 (Critique)
• Systèmes impactés : Toutes les versions de Windows Server actuellement supportées, y compris Windows Server 2025
• Patch : Publié lors du Patch Tuesday de mai 2026 (12 mai 2026)
• Découvreur : Windows Attack Research & Protection (WARP), équipe interne Microsoft

⚠️ Exploitation active

Le CCB a confirmé via un tweet que CVE-2026-41089 est activement exploité dans la nature. Aucun détail sur les attaquants, les victimes ou les méthodes d’exploitation n’a été fourni. Microsoft n’avait pas encore mis à jour son advisory au moment de la publication de l’article.

🔗 Contexte élargi : vulnérabilités liées au chercheur « Nightmare Eclipse »

L’article mentionne également plusieurs autres vulnérabilités Windows divulguées par le chercheur anonyme Nightmare Eclipse :

• YellowKey (CVE-2026-45585) : zero-day Windows BitLocker, accès aux drives protégés
• BlueHammer (CVE-2026-33825) : élévation de privilèges, désormais exploité
• RedSun (CVE-2026-41091) : élévation de privilèges, désormais exploité
• GreenPlasma et MiniPlasma : élévation de privilèges jusqu’au niveau SYSTEM
• UnDefend (CVE-2026-45498) : blocage des mises à jour des définitions Microsoft Defender

Microsoft a réagi en évoquant des mesures légales potentielles contre Nightmare Eclipse.

📰 Nature de l’article

Article de presse spécialisée relayant une alerte de sécurité officielle du CCB, visant à informer les administrateurs systèmes de l’exploitation active d’une vulnérabilité critique récemment patchée.

🧠 TTPs et IOCs détectés

TTP

• T1210 — Exploitation of Remote Services (Lateral Movement)
• T1190 — Exploit Public-Facing Application (Initial Access)

IOC

• CVEs : CVE-2026-41089 — NVD · CIRCL
• CVEs : CVE-2026-45585 — NVD · CIRCL
• CVEs : CVE-2026-33825 — NVD · CIRCL
• CVEs : CVE-2026-41091 — NVD · CIRCL
• CVEs : CVE-2026-45498 — NVD · CIRCL

🟡 Indice de vérification factuelle : 63/100 (moyenne)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 11345 chars — texte complet (fulltext extrait) (15pts)
• ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 2 TTP(s) MITRE (8pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/microsoft/critical-windows-netlogon-remote-code-execution-flaw-now-exploited-in-attacks/