CVE-2026-41089 : RCE Netlogon CVSS 9.8 exploitée activement

Les faits

Le 12 mai 2026, Microsoft publiait son Patch Tuesday mensuel avec une correction pour CVE-2026-41089, une vulnérabilité dans le service Windows Netlogon notée CVSS 9.8. À sa publication, Microsoft la classifiait comme « non divulguée publiquement, non exploitée » — une qualification que les événements allaient contredire en moins de trois semaines.

Le 29 mai 2026, le Centre for Cybersecurity Belgium (CCB) a mis à jour son advisory pour indiquer que CVE-2026-41089 était désormais activement exploitée dans la nature. Dans les 48 heures suivantes, SecurityWeek, BleepingComputer et Threat-Modeling.com ont relayé et confirmé ces informations avec des données télémétriques issues de plusieurs honeypots de contrôleurs de domaine exposés sur Internet.

La faille technique réside dans la fonction NlGetLocalPingResponse du service Netlogon. Cette fonction alloue un buffer de 528 octets sur la pile du processus. Une fonction auxiliaire, NetpLogonPutUnicodeString, est chargée d'écrire des chaînes de caractères Unicode dans ce buffer. L'erreur critique : elle lit une longueur exprimée en octets mais l'interprète comme un compte de caractères WCHAR (2 octets par caractère), conduisant à écrire le double de ce qui est prévu dans l'espace alloué.

Un attaquant peut exploiter ce comportement via le protocole CLDAP (Connectionless LDAP) sur le port UDP 389, accessible par défaut sur tous les contrôleurs de domaine Windows. En contrôlant le champ "User" d'un filtre CLDAP et en envoyant jusqu'à 130 caractères larges (260 octets) combinés à d'autres champs, le total des données écrites dépasse les 528 octets alloués. La pile est corrompue, l'adresse de retour de la fonction est écrasée et l'attaquant prend le contrôle du flux d'exécution.

Aucune authentification préalable n'est requise. Aucune interaction utilisateur n'est nécessaire. Le score CVSS 9.8 reflète précisément ces conditions : vecteur réseau, complexité faible, aucun privilège requis. Des chercheurs de PenLigent AI et de GBlock ont publié des analyses techniques confirmant la reproductibilité sur des installations par défaut de Windows Server 2019 et 2022. L'un d'eux qualifie CVE-2026-41089 de « 0-Click Domain Controller RCE ».

L'impact d'une exploitation réussie est total. Le service Netlogon s'exécute en SYSTEM sur les contrôleurs de domaine. C'est ce même service qui signe les tickets Kerberos et détient l'accès au secret du compte krbtgt. Une fois du code exécuté en contexte SYSTEM sur un DC, un attaquant peut en moins de cinq minutes : extraire le hash krbtgt depuis LSASS, forger un Golden Ticket valide dix ans, pousser une GPO malveillante sur l'ensemble du parc, et créer de nouveaux comptes Domain Admin. La compromission d'un seul contrôleur de domaine se traduit par la prise de contrôle totale du domaine Active Directory.

Des comparaisons avec EternalBlue (MS17-010) et ZeroLogon (CVE-2020-1472) ont émergé dans la communauté. Si le mécanisme technique diffère, la combinaison « pré-authentification + réseau + DC » place CVE-2026-41089 dans la même catégorie de criticité. Undercode Testing a qualifié la situation d'urgence « Patch-Now » de niveau Zerologon. La fenêtre entre la publication du patch (12 mai) et la confirmation d'exploitation active (29 mai) n'a été que de 17 jours — une durée en compression constante selon les données de Threat-Modeling.com.

Le risque est amplifié par la prévalence de Windows Server 2012/2012 R2 encore opérationnels dans des environnements industriels, PME et collectivités territoriales françaises. Ces versions restent vulnérables et ne bénéficient plus de mises à jour de sécurité automatiques hors programme ESU payant. Orca Security a confirmé la reproductibilité de l'exploitation et documenté qu'après compromission d'un DC, les attaquants peuvent compromettre 100% des machines du domaine en moins de 30 minutes via des mouvements latéraux GPO.

Impact et exposition

CVE-2026-41089 affecte tous les Windows Server 2012 à 2025 configurés en contrôleurs de domaine Active Directory. Les scénarios d'exposition les plus critiques sont : DC accessibles depuis Internet sur UDP 389, environnements où le CLDAP est autorisé entre segments internes pour la découverte multi-sites, et organisations n'ayant pas déployé les correctifs de mai 2026. La CISA a exigé des agences fédérales américaines l'application du correctif avant le 3 juin 2026 (directive BOD 22-01). Un attaquant avec un point d'appui réseau interne minimal peut exploiter la faille depuis n'importe quel segment ayant accès au DC sur UDP 389.

Recommandations

• Appliquer immédiatement les correctifs Microsoft de mai 2026 sur tous les DC : KB5058378 (WS 2019), KB5058385 (WS 2022), KB5058392 (WS 2025)
• Bloquer le port UDP 389 (CLDAP) depuis Internet et les segments réseau non-administratifs
• Auditer les logs Netlogon pour des tentatives d'exploitation : Event ID 5805, 5820, 5827 avec des champs User anormalement longs
• Isoler les Windows Server 2012/2012 R2 non patchables et restreindre leurs accès réseau au strict nécessaire
• Activer des alertes sur la création de comptes Domain Admin et les modifications de GPO hors maintenance planifiée