📰 Contexte
Publié le 1er juin 2026 par BleepingComputer, cet article rapporte l’alerte émise par le Centre pour la Cybersécurité Belgique (CCB) concernant l’exploitation active dans la nature d’une vulnérabilité critique récemment corrigée dans Windows Netlogon.
🔍 Vulnérabilité CVE-2026-41089
CVE-2026-41089 est un stack-based buffer overflow dans le service Windows Netlogon (interface RPC utilisée pour l’authentification sur les réseaux de domaine Windows). Elle permet à un attaquant non authentifié d’obtenir une exécution de code à distance (RCE) sur des contrôleurs de domaine ciblés.
- Score CVSS 3.1 : 9.8 (critique)
- Vecteur d’attaque : envoi d’une requête réseau spécialement forgée vers un serveur Windows faisant office de contrôleur de domaine
- Aucun accès préalable ni authentification requis
- Systèmes impactés : toutes les versions de Windows Server actuellement supportées, y compris Windows Server 2025
- Patch disponible depuis le Patch Tuesday de mai 2026 (12 mai 2026)
- Découverte : équipe interne Microsoft Windows Attack Research & Protection (WARP)
⚠️ Exploitation active
Le CCB a publié une alerte vendredi indiquant que CVE-2026-41089 est activement exploitée dans la nature, sur la base d’informations reçues de partenaires de confiance. Aucun détail supplémentaire sur les attaques n’a été fourni.
Microsoft a déclaré à BleepingComputer ne pas disposer d’éléments confirmant les affirmations du CCB, tout en recommandant l’installation des mises à jour de sécurité.
🔗 Contexte élargi : chercheur « Nightmare Eclipse »
L’article mentionne également plusieurs autres vulnérabilités zero-day divulguées par le chercheur anonyme ‘Nightmare Eclipse’ :
- YellowKey (CVE-2026-45585) : zero-day Windows BitLocker, accès aux drives protégés (décrit comme backdoor)
- BlueHammer (CVE-2026-33825) : élévation de privilèges, exploitée activement
- RedSun (CVE-2026-41091) : élévation de privilèges, exploitée activement
- GreenPlasma et MiniPlasma : élévation de privilèges vers SYSTEM (sans CVE mentionné)
- UnDefend (CVE-2026-45498) : blocage des mises à jour de définitions Microsoft Defender
Microsoft avait initialement réagi aux divulgations de Nightmare Eclipse par des menaces voilées d’action légale.
📌 Nature de l’article
Article de presse spécialisée relayant une alerte de sécurité officielle, visant à informer les équipes IT de l’exploitation active d’une vulnérabilité critique et à documenter le contexte des divulgations associées.
🧠 TTPs et IOCs détectés
TTP
- T1210 — Exploitation of Remote Services (Lateral Movement)
- T1190 — Exploit Public-Facing Application (Initial Access)
IOC
- CVEs :
CVE-2026-41089— NVD · CIRCL - CVEs :
CVE-2026-45585— NVD · CIRCL - CVEs :
CVE-2026-33825— NVD · CIRCL - CVEs :
CVE-2026-41091— NVD · CIRCL - CVEs :
CVE-2026-45498— NVD · CIRCL
🟡 Indice de vérification factuelle : 53/100 (moyenne)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 4193 chars — texte complet (15pts)
- ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 2 TTP(s) MITRE (8pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/5 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/microsoft/critical-windows-netlogon-remote-code-execution-flaw-now-exploited-in-attacks/