Une vulnérabilité critique affectant le service Netlogon de Windows Server, identifiée sous la référence CVE-2026-41089, est désormais exploitée activement dans la nature, selon une alerte publiée vendredi 29 mai 2026 par le Centre pour la cybersécurité de Belgique (CCB).
Découverte par une équipe interne de Microsoft, cette faille de sécurité a reçu un score CVSS de 9,8 sur 10, la classant comme critique. Elle réside dans le service Netlogon, un composant essentiel des environnements Active Directory utilisé pour l'authentification des utilisateurs sur les contrôleurs de domaine et les serveurs membres du domaine. Un attaquant peut exploiter cette vulnérabilité en envoyant une requête réseau spécialement conçue à un serveur Windows jouant le rôle de contrôleur de domaine, sans nécessiter d'authentification préalable ni d'interaction de la part de l'utilisateur. En cas de succès, cela permet l'exécution de code à distance sur le système affecté.
Microsoft a corrigé ce défaut le 12 mai 2026, dans le cadre de son Patch Tuesday mensuel. L'éditeur avait alors indiqué que la vulnérabilité n'était pas exploitée. Cependant, le CCB a contredit cette évaluation en affirmant que des attaquants l'utilisent désormais de manière active. L'organisme belge a exhorté les administrateurs à appliquer les mises à jour de sécurité sans délai, précisant que l'exploitation ne requiert aucun privilège ni intervention de l'utilisateur et peut être menée à distance.
Versions concernées et mesures de protection
Toutes les éditions de Windows Server allant de Windows Server 2012 à Windows Server 2025 sont vulnérables, y compris les installations en mode Core. La seule parade consiste à installer les mises à jour cumulatives diffusées en mai 2026, qui intègrent un correctif dédié. Aucun détail supplémentaire sur les attaques en cours n'a été divulgué pour le moment. La faille ne figure pas encore dans le catalogue des vulnérabilités exploitées connues (KEV) de l'agence américaine CISA, mais cette situation pourrait évoluer rapidement.
