A Microsoft Windows Server operációs rendszere körül egy elég súlyos sebezhetőség bukkant fel, ami a CVSS V3 skála szerint majdnem a lehető legmagasabb veszélyességi osztályba tartozik, ugyanis a 10 pontos skálán 9,8 pontra értékelték, azaz haladéktalanul frissíteni kell az érintett rendszereket.

A sebezhetőség a Windows Server operációs rendszerek tartományvezérlőjét (Domain Controller – DC) érinti, ami alap esetben a felhasználók hitelesítését végzi és jogosultsági szintjüknek megfelelő hozzáférést enged a különböző erőforrások elérésére és használatára, de egyebek mellett a címtárszolgáltatást és a központi házirendeket is kezeli, azaz egy komplex szoftverkomponensről van szó, ami az operációs rendszer és a helyi hálózat biztonságos működéséhez elengedhetetlen. Ebben a szolgáltatásban találtak sebezhetőséget, ami nem nulladik napi és ami a Windows Server 2012-től egészen a Windows Server 2025-ös kiadásig érinti a Microsoft szerverekhez biztosított operációs-rendszer kínálatát.

A sebezhetőségen keresztül, ami egyébként a CVE-2026-41089-es bejegyzés alatt fut, a támadó számos káros cselekményt hajthat végre az adott helyi hálózaton, csak egy megfelelően megszerkesztett UDP csomagot kell küldenie a DC felé – nem kell átesnie előzetes hitelesítésen sem – amelynek következtében akár rendszerszintű hozzáférést is szerezhet, ezáltal kényes adatokhoz férhet hozzá és lényegében bármit megtehet az adott szerveren. Létrehozhat akármennyi felhasználói fiókot, ezeknek bármilyen jogosultságot adhat, valamint az adott tartományon belüli összes adathoz hozzáférhet, ami súlyos problémát jelent. A támadó kevésbé szélsőséges esetben pusztán azt is elérheti, hogy a DC újrainduljon és ezáltal DDoS támadást is végrehajthat, ami az adott szerver elérhetetlenségét eredményezheti.

A Microsoft csapata korábban azt állította, a sebezhetőség részletei nem láttak napvilágot, így publikus kiaknázására sem került sor, azóta viszont eltelt némi idő és a friss beszámolók alapján már működő példakódok is felkerültek a GitHub virtuális hasábjaira, valamint olyan hírek is érkeztek, amelyek alapján a kiberbűnözők aktívan támadják a sebezhetőséget.

A javítás a május 12-i Patch Tuesday keretén belül vált elérhetővé az érintett rendszerek számára, ám sok esetben ez a frissítés egyszerűen nem került fel a potenciálisan érintett szerverekre, ami óriási biztonsági kockázatot jelenthet. A kibervédelmi szakemberek szerint a rendszeradminisztrátoroknak úgy kell tekinteni a hibára, mintha egy féreghez hasonló veszéllyel lenne dolguk, vagyis egyszerre kell frissíteniük az összes érintett szervert annak érdekében, hogy mindegyik egyszerre kapja meg a szükséges védelmet, egy pillanatra se maradjon az adott infrastruktúrában gyenge láncszem.

A bug felfedése része annak a vitának, ami a Microsoft és az egyik kibervédelmi szakember között húzódik: Chaotic Eclipse korábban nagyobb mennyiségben talált nulladik napi sebezhetőségeket a Microsoft térfelén, majd miután a bugokért nem kapta meg a jutalmakat, azaz nem sikerült a Microsoft szakembereivel dűlőre jutnia, ezeket elkezdte felfedni. A vita odáig fajult, hogy az ügyet most már jogi útra tereli a Microsoft, a kibervédelmi szakember pedig azt helyezte kilátásba, hogy 2026. július 14-én egy nagy adag nulladik napi sebezhetőséget fog publikálni, ami nehéz helyzetbe hozhatja a Microsoftot – és a szoftverek használóit is.