L’autorité nationale belge pour la cybersécurité, le Centre for Cybersecurity Belgium, a émis un avertissement ce vendredi. Des pirates informatiques exploitent déjà une faille critique de Windows Netlogon qui vient tout juste d’être corrigée.
Netlogon est une interface d’appel de procédure distante et un service central de Windows Server. Il authentifie les services et les utilisateurs sur les réseaux basés sur un domaine Windows.
Microsoft avait corrigé cette vulnérabilité, identifiée comme CVE-2026-41089, lors de la mise à jour de sécurité du mois de mai. La société l’avait décrite comme un dépassement de mémoire tampon basé sur la pile dans Windows Netlogon. Un attaquant peut ainsi exécuter du code à distance sur un contrôleur de domaine ciblé, et ce sans avoir besoin de privilèges initiaux.
Microsoft précise qu’un attaquant pourrait envoyer une requête réseau spécialement conçue à un serveur Windows qui fait office de contrôleur de domaine. Si elle réussit, cette attaque force le service Netlogon à traiter la requête de manière incorrecte. L’attaquant peut alors exécuter du code sur le système visé sans avoir besoin de s’y connecter ou d’y avoir un accès préalable.
La faille CVE-2026-41089 affecte toutes les versions actuellement supportées de Windows Server, y compris la dernière, Windows Server 2025.
D’après un avis de sécurité publié par Microsoft le 12 mai, la vulnérabilité a été découverte par l’équipe interne de recherche offensive Windows Attack Research & Protection.
Le Centre for Cybersecurity Belgium a annoncé que des pirates exploitent activement cette faille dans la nature. L’autorité a exhorté les administrateurs systèmes à appliquer le correctif sur leurs serveurs vulnérables sans délai.
Le CCB a déclaré dans une publication sur le réseau social X : « La CVE-2026-41089 dans Windows Netlogon est maintenant activement exploitée dans la nature et pourrait mener à une exécution de code à distance. CVSS(3.1) : 9.8. Appliquez le correctif le plus rapidement possible. »
Le Centre for Cybersecurity Belgium n’a pas fourni de détails supplémentaires sur ces attaques en cours. Il n’a pas répondu à une demande d’informations de la part du média BleepingComputer.
Microsoft n’a pas encore mis à jour son avis de sécurité pour indiquer que l’exploitation est active. Un porte-parole de l’entreprise n’a pas répondu à un courriel qui lui demandait de confirmer cette information.
Il y a deux semaines, Microsoft avait partagé des mesures d’atténuation pour une autre faille zero-day, appelée YellowKey. Cette vulnérabilité, référencée CVE-2026-45585, touche Windows BitLocker et donne accès aux lecteurs protégés. Un chercheur en sécurité anonyme qui utilise le pseudonyme ‘Nightmare Eclipse’ l’a décrite comme une porte dérobée. Ce même chercheur l’a divulguée et a publié un code d’exploitation de preuve de concept.
Au cours des derniers mois, Nightmare Eclipse a aussi divulgué les failles zero-day BlueHammer et RedSun. Ces deux vulnérabilités, qui permettent d’élever ses privilèges, sont maintenant exploitées dans des attaques. Le chercheur a aussi révélé les failles GreenPlasma et MiniPlasma, qui accordent les privilèges SYSTEM, ainsi que UnDefend. Cette dernière faille zero-day peut être exploitée par des attaquants ayant des permissions d’utilisateur standard pour bloquer les mises à jour des définitions de Microsoft Defender.
La réaction initiale de Microsoft face à Nightmare Eclipse a consisté en des menaces à peine voilées d’action en justice. La société a ensuite publié un message sur le réseau social X. Elle y affirme qu’elle « travaillera avec les forces de l’ordre si nécessaire » quand « un individu enfreint la loi et s’engage dans une activité malveillante qui cause un préjudice réel à nos clients ».