Betroffene Systeme
CVE-2026-45648 betrifft Active Directory Domain Services auf Windows Server 2022 und Windows Server 2025, jeweils auch als Server Core. Ein domänenauthentifizierter Angreifer mit Zugriff auf die NSPI-RPC-Schnittstelle kann präparierte Eingaben an den Verzeichnisdienst senden. Laut Bewertung sind niedrige Rechte ausreichend; Benutzerinteraktion ist nicht erforderlich.
Auch ohne bekannte aktive Ausnutzung gehört diese Schwachstelle in die kurze Patch-Warteschlange. Remote Code Execution im Verzeichnisdienst betrifft den Identity-Tier direkt, nicht nur einen beliebigen Windows-Server.
Was Betreiber jetzt prüfen sollten
- Domain Controller inventarisieren: Alle DCs in allen Sites erfassen, inklusive RODCs, Recovery-Umgebungen, gestoppter VMs und Server-Core-Installationen.
- Juni-Updates nachweisen: Für Windows Server 2022 mindestens Build 20348.5256, für Windows Server 2025 mindestens Build 26100.32995 oder die jeweils neuere kumulative Aktualisierung nachweisen.
- Neustarts planen: DC-Patching nicht nur installieren, sondern abgeschlossene Neustarts und Replikationszustand dokumentieren.
- DC-Erreichbarkeit prüfen: RPC-, SMB-, LDAP- und Kerberos-Pfade zu DCs auf notwendige Quellnetze begrenzen. DMZ-, Gast-, unsichere VPN- und Admin-fremde Netze besonders prüfen.
- Auffälligkeiten beobachten: LSASS-/Directory-Service-Abstürze, RPC-Fehler, ungewöhnliche NSPI-/Adressbuchabfragen und neue Authentifizierungsfehler nach dem Patchfenster enger auswerten.
Schneller Nachweis
- Pro Domain Controller: Betriebssystem, Rolle, Site, Buildnummer, installiertes kumulatives Update, letzter Neustart.
- Pro Netzwerkzone: dokumentierte Notwendigkeit für Verbindungen zu DC-Ports statt historisch gewachsener Erreichbarkeit.
- Für verzögerte DCs: Owner, Ablaufdatum, Risikoakzeptanz und temporäre Segmentierungsmaßnahme.
Wenn nur ein Schritt sofort geht: Buildstand und Neustartstatus jedes Domain Controllers nachweisen und ungeplante DC-Erreichbarkeit entfernen.