Security
13 min read
3538 views

Domain Overlord (CVE-2026-26119): Das stille Privilegien-Upgrade in Windows Admin Center

IT
InstaTunnel Team
Published by our engineering team
Domain Overlord (CVE-2026-26119): Das stille Privilegien-Upgrade in Windows Admin Center

In der Welt der Unternehmensinfrastruktur ist das Windows Admin Center (WAC) das Kronjuwel der Verwaltung. Es ist das browserbasierte “One-Stop-Shop”, in dem IT-Profis Server, Cluster und hyperkonvergente Infrastruktur verwalten. Kürzlich wurde jedoch eine hochkritische Sicherheitslücke, erfasst als CVE-2026-26119, offengelegt, die diesen zentralen Kontrollpunkt in eine potenzielle Hintertür für Angreifer verwandelt.

Nicknamed “Domain Overlord”, stellt dieser Fehler eine klassische, aber verheerende Schwachstelle in der Authentifizierungslogik dar. Er ermöglicht einem Nutzer mit niedrigen Rechten—jemandem, der vielleicht nur Helpdesk-Zugriff hat—stilles Hochstufen seiner Berechtigungen, um die gleiche Kontrolle wie das WAC-Anwendungs-Konto zu erlangen. In vielen Umgebungen bedeutet das einen direkten Weg zu Domain-Admin-Rechten.

Dieser Artikel bietet eine umfassende Analyse der Mechanismen von CVE-2026-26119, der “Unzureichenden Authentifizierung”-Logik im Kern und wie Organisationen sich gegen diese “God Mode”-Bedrohung schützen können.

Was ist Windows Admin Center (WAC)?

Um die Schwere von CVE-2026-26119 zu verstehen, müssen wir zuerst die Architektur des Ziel-Tools verstehen. Windows Admin Center ist ein lokal bereitgestelltes, browserbasiertes Verwaltungstoolset, das die moderne Alternative zu traditionellen “Server Manager”- und Microsoft Management Console (MMC)-Tools darstellt.

Das Gateway-Modell

WAC arbeitet nach einem Gateway-Modell. Der WAC-Gateway-Dienst läuft typischerweise auf einem Windows Server oder einer dedizierten Verwaltungskonsole. Administratoren verbinden sich über HTTPS mit diesem Gateway aus ihren Webbrowsern. Das Gateway kommuniziert dann mit den verwalteten Knoten (Server, PCs oder Cluster) mittels WinRM (Windows Remote Management) oder PowerShell-Remoting.

Da das Gateway als Proxy für administrative Aktionen fungiert, benötigt es erhebliche Berechtigungen. Es läuft oft unter einem Group Managed Service Account (gMSA) oder einem speziellen Dienstkonto, dem administrative Rechte im gesamten Server-Umfeld gewährt wurden.

Die technische Analyse: CVE-2026-26119

Entdeckt vom Forscher Andrea Pierini von Semperis und im Februar 2026 offengelegt, fällt CVE-2026-26119 unter CWE-287: Unzureichende Authentifizierung. Mit einem CVSS-Score von 8.8 ist es eine “Hohe” Schwere, die überraschend einfach auszunutzen ist, sobald die Logik verstanden wurde.

Entdeckungszeitplan

Laut Andrea Pierinis LinkedIn-Post wurde die Schwachstelle im Juli 2025 entdeckt. Microsoft hat das Problem in Windows Admin Center Version 2511 gepatcht, die am 11. Dezember 2025 veröffentlicht wurde. Die Schwachstelle wurde jedoch erst am 17. Februar 2026 öffentlich bekannt gemacht, was ein erhebliches Zeitfenster schafft, in dem Organisationen anfällig waren, ohne es zu wissen.

Die “Unzureichende Authentifizierung”-Logik

Die Schwachstelle liegt in der Art und Weise, wie das WAC-Gateway die Identität eines autorisierten Nutzers prüft, bevor es seine Anfragen an das zugrunde liegende System weitergibt.

In einem sicheren Ablauf sollte das Gateway, wenn sich ein Nutzer (nennen wir ihn “Bob”) bei WAC anmeldet, Bobs Identität verifizieren und dann Aktionen auf den verwalteten Knoten mit Bobs spezifischen Anmeldeinformationen (via Kerberos-Delegation) oder eingeschränkten “Just Enough Administration” (JEA)-Rollen ausführen.

Der Fehler: CVE-2026-26119 tritt auf, weil das WAC-Gateway es versäumt, den Sitzungs-Kontext des Nutzers ordnungsgemäß vom Dienstkonto des Gateways zu isolieren. Unter bestimmten Bedingungen kann ein autorisierter, aber mit niedrigen Rechten ausgestatteter Nutzer eine Anfrage erstellen, die die sekundäre Authentifizierungsprüfung umgeht. Anstatt das Gateway zu fragen: “Hat Bob die Berechtigung, das zu tun?”, übernimmt das System die Berechtigungen des WAC-Service-Kontos selbst.

Rechtevererbung

Wenn die WAC-Anwendung mit einem hochprivilegierten Konto läuft—was in Unternehmensbereitstellungen üblich ist, um alle Knoten verwalten zu können—erbt der Angreifer effektiv diese Rechte. Deshalb nennt man es ein stilles Privilegien-Upgrade. Es gibt keinen “Exploit” im klassischen Sinne eines Speicherüberlaufs oder eines abgestürzten Dienstes; es ist ein logischer Fehler, bei dem die Anwendung ihrem eigenen internen Service-Token zu viel Vertrauen schenkt.

Laut Pierinis Aussage gegenüber Sicherheitsexperten: “Unter bestimmten Bedingungen könnte dieses Problem eine vollständige Domänenkompromittierung ab einem Standardbenutzer ermöglichen.”

Der Angriffsablauf: Vom Helpdesk zu “God Mode”

Das Schöne (und Schreckliche) an “Domain Overlord” ist seine Einfachheit. Ein Angreifer muss kein externer Hacker sein; er braucht nur gültige, niedrigstufige Anmeldeinformationen.

Schritt 1: Erster Einstieg

Der Angreifer erhält Zugriff auf ein Standardbenutzer- oder “Helpdesk”-Konto. Dieses Konto hat möglicherweise Berechtigungen, sich bei Windows Admin Center anzumelden, um grundlegende Aufgaben durchzuführen, wie den Status eines bestimmten Servers zu prüfen oder Ereignisprotokolle anzusehen.

Schritt 2: Abfangen der Anfrage

Mit einem Proxy-Tool (wie Burp Suite) oder den Entwickler-Tools des Browsers kann der Angreifer die API-Aufrufe abfangen, die vom WAC-Webinterface an das Gateway gesendet werden.

Schritt 3: Auslösen des Authentifizierungsfehlers

Der Angreifer modifiziert die Anfrage, indem er bestimmte Identitäts-Header entfernt oder das Sitzungstoken manipuliert, sodass die Authentifizierung im WAC “fail open”-Modus läuft. Aufgrund des Fehlers in Versionen vor 2511 fällt das Gateway auf seine eigene Prozess-Identität zurück, um die Aufgabe zu erledigen, anstatt die fehlerhafte Anfrage abzulehnen.

Schritt 4: Vollständige Domänen-Hochstufung

Da der WAC-Gateway-Dienst oft Mitglied der Gruppe “Domain Admins” ist (oder über gleichwertige “Log on as a service”- und lokale Administratorrechte auf allen Servern verfügt), kann der Angreifer nun Befehle an beliebige verwaltete Knoten senden. Er kann neue Domain-Admin-Konten erstellen, die NTDS.dit-Datenbank (mit allen Domänen-Hashes) auslesen oder Ransomware im gesamten Netzwerk ausrollen.

Warum ist das so gefährlich?

Die Schwachstelle “Domain Overlord” ist aus mehreren Gründen besonders heimtückisch:

Geringe Einstiegshürde

Der Angreifer benötigt nur “Niedrig”-Privilegien. In vielen Unternehmen haben Hunderte von IT-Mitarbeitern, Auftragnehmern oder sogar automatisierte Systeme gültige WAC-Anmelderechte.

Keine Nutzerinteraktion

Im Gegensatz zu Phishing- oder CSRF-Angriffen muss der Angreifer keinen Admin dazu verleiten, auf einen Link zu klicken. Er kann diese Hochstufung vollständig eigenständig ausführen.

Das “Schadensausmaß”

Windows Admin Center ist oft die privilegierteste Anwendung in einer Windows-Umgebung. Das Erlangen der Rechte des WAC-Servicekontos ist gleichbedeutend mit dem Finden des Master-Schlüssels für das gesamte Gebäude. Wie ein Sicherheitsexperte anmerkt: “Ein einzelner kompromittierter WAC-Host kann zum Pivot für eine umfassende Infrastruktur-Kompromittierung werden.”

Netzwerkbasierte Angriffsmöglichkeit

Die Schwachstelle kann über das Netzwerk ausgenutzt werden, was sie für jeden authentifizierten Nutzer zugänglich macht, der die WAC-URL erreichen kann—ohne lokalen Zugriff.

Microsofts Einschätzung: “Höhere Exploit-Wahrscheinlichkeit”

Microsoft bewertet diese Schwachstelle mit einem “Höhere Exploit-Wahrscheinlichkeit”-Rating, was erheblich ist. Laut Microsofts Beratung bedeutet diese Einschätzung:

  • Angreifer könnten zuverlässigen Exploit-Code entwickeln
  • Ähnliche Schwachstellen wurden in der Vergangenheit in realen Angriffen genutzt
  • Die Kombination aus Netzwerkangriffsvektor, niedriger Angriffskomplexität und geringem Privileg macht sie zu einem attraktiven Ziel

Microsoft erklärte: “Daher sollten Kunden, die das Sicherheitsupdate geprüft haben und dessen Anwendbarkeit in ihrer Umgebung beurteilen, diesem eine höhere Priorität einräumen.”

Zum Zeitpunkt der öffentlichen Offenlegung im Februar 2026 gab es keine bestätigten Berichte über aktive Angriffe in freier Wildbahn. Die Offenlegung technischer Details und das Rating “Höhere Exploit-Wahrscheinlichkeit” deuten jedoch darauf hin, dass Proof-of-Concept-Code schnell auftauchen könnte.

Betroffene Versionen und Patch-Informationen

Betroffene Versionen

Laut Microsofts Security Update Guide sind folgende Versionen anfällig:

  • Windows Admin Center Versionen 1809.0 bis 2.6.4 (vor Version 2511)
  • Dazu gehört die beliebte Version 2410, veröffentlicht im Dezember 2024

Gepatchte Version

Microsoft hat die Schwachstelle in Windows Admin Center Version 2511 behoben, veröffentlicht am 11. Dezember 2025.

Version 2511: Wichtige Funktionen:

  • Sicherheitsfix: Behebt CVE-2026-26119
  • Hohe Verfügbarkeit wiederhergestellt: Unterstützung für Failover-Cluster-Deployments
  • Verbesserte Installation: Verbesserte stille Installation mit Befehlszeilen-Unterstützung
  • Unternehmensweite Protokollierung: Installationsdetails werden jetzt im Windows-Ereignisprotokoll gespeichert
  • Verbesserungen bei VM-Management: Verbesserte Import-/Export-Workflows
  • Sicherheits-Tools für Server 2025: Neue Sicherheits-Baseline-Durchsetzung und Silicon-gestützte Sicherheitsfunktionen
  • Remote-Desktop-Verbesserungen: Unterstützung für 30+ internationale Tastaturlayouts

Patchen und Abhilfemaßnahmen: Der Weg zu Version 2511

Sofortmaßnahmen

Wenn Sie eine Version von Windows Admin Center vor 2511 verwenden (einschließlich Versionen 2.6.x oder älter), sind Sie anfällig.

  1. Jetzt aktualisieren: Laden Sie sofort Windows Admin Center Version 2511 oder höher von der offiziellen Microsoft-Downloadseite herunter und installieren Sie es
  2. WAC-Dienstkonten prüfen: Überprüfen Sie, welches Konto den WAC-Gateway-Dienst ausführt. Wenn es Mitglied von “Domain Admins” ist, sind Sie am höchsten Risiko
  3. Anmeldeinformationen rotieren: Wenn Sie eine Kompromittierung vermuten, ändern Sie die Passwörter aller Dienstkonten, die von WAC genutzt werden, sowie aller Konten, die kürzlich auf das WAC-Gateway zugegriffen haben
  4. Zugriffsprotokolle prüfen: Überwachen Sie Windows-Ereignisprotokolle und WAC-Protokolle auf verdächtige Authentifizierungsmuster oder Privilegien-Hochstufungsversuche

Abhilfemaßnahmen (Wenn Sie nicht sofort patchen können)

Wenn eine sofortige Aktualisierung aufgrund von Change-Management-Prozessen nicht möglich ist, können diese temporären Maßnahmen helfen:

Maßnahme Beschreibung
Netzwerksegmentierung Beschränken Sie den Zugriff auf die WAC-URL (Port 443) nur auf bestimmte, vertrauenswürdige IPs oder Management-Subnets. Nutzen Sie Firewall-Regeln, um die Exposition zu minimieren.
Minimalrechte Ändern Sie das WAC-Dienstkonto in ein Group Managed Service Account (gMSA) mit eingeschränkten Rechten, statt eines vollwertigen Domain-Admins. Gewähren Sie nur notwendige Rechte auf verwalteten Knoten.
MFA erzwingen Erzwingen Sie Multi-Faktor-Authentifizierung (MFA) für alle WAC-Anmeldungen. Obwohl es den Fehler nicht behebt, erschwert es den “Initial-Foothold” erheblich.
Erweiterte Überwachung Aktivieren Sie detailliertes Logging und überwachen Sie ungewöhnliche Authentifizierungsmuster, insbesondere bei niedrigprivilegierten Konten, die hochprivilegierte Aktionen ausführen.
Zero Trust Netzwerkzugang Implementieren Sie Zero-Trust-Kontrollen, die eine kontinuierliche Verifikation erfordern, auch innerhalb des Netzwerks.

Beste Praktiken zur Sicherung von Windows Admin Center

CVE-2026-26119 ist ein Weckruf, wie wir zentrale Verwaltungstools behandeln. Zukünftig sollten Organisationen einen “Zero Trust”-Ansatz für WAC verfolgen.

1. Nicht als Domain Admin ausführen

Der häufigste Fehler ist, den WAC-Gateway-Dienst unter einem Domain-Admin-Konto laufen zu lassen. Stattdessen:

  • Verwenden Sie ein Group Managed Service Account (gMSA)
  • Gewähren Sie nur die spezifischen Rechte, die es auf verwalteten Knoten benötigt, via Just Enough Administration (JEA)
  • Folgen Sie dem Prinzip der minimalen Rechte

2. Gateway-Zugriffsgruppen verwenden

In den WAC-Einstellungen können Sie “Gateway Access”-Gruppen definieren. Stellen Sie sicher, dass nur ein kleiner Kreis Ihrer IT-Mitarbeiter überhaupt auf die WAC-Anmeldeseite zugreifen kann. Implementieren Sie rollenbasierte Zugriffskontrolle (RBAC), um zu steuern, wer was tun darf.

3. Überwachen Sie “Anomale Vererbungen”

Beobachten Sie Ihre Sicherheitsprotokolle auf Event-IDs, die zeigen, dass ein Dienstkonto Aktionen durchführt, die von einem anderen, niedrigprivilegierten Nutzer initiiert wurden. Achten Sie insbesondere auf:

  • PowerShell-Ausführungsprotokolle (Event ID 4104), bei denen die Felder “User” und “Connected User” eine Diskrepanz im Privileg zeigen
  • Anmeldeereignisse (Event ID 4624) mit ungewöhnlichen Privilegien-Hochstufungen
  • Prozess-Erstellungsereignisse, die administrative Tools durch niedrigprivilegierte Konten starten

4. Umstieg auf Entra ID (Azure AD) Authentifizierung

Wann immer möglich, integrieren Sie WAC mit Microsoft Entra ID. Dies ermöglicht:

  • Robustere bedingte Zugriffsrichtlinien
  • Identitätsschutz mit risikobasierter Authentifizierung
  • Bessere Protokollierung und Audit-Trails als bei herkömmlicher Windows-Authentifizierung
  • Integration mit Microsoft Defender for Identity

5. Netzwerksegmentierung umsetzen

  • Deployen Sie WAC in einem dedizierten Management-VLAN
  • Nutzen Sie Jump-Hosts oder privilegierte Zugriff-Arbeitsstationen (PAWs)
  • Exponieren Sie WAC niemals direkt im Internet
  • Verwenden Sie VPN oder Zero-Trust-Netzwerkzugang für Remote-Administration

6. Umfassendes Logging aktivieren

Version 2511 führt erweiterte Logging-Fähigkeiten ein. Nutzen Sie:

  • Windows-Ereignisprotokoll-Integration für Installation und Betrieb
  • Zentrale Protokollierung in eine SIEM-Lösung
  • Regelmäßige Log-Überprüfung und Korrelation mit Sicherheitsereignissen

7. Regelmäßige Sicherheitsbewertungen

  • Führen Sie regelmäßige Sicherheitsüberprüfungen Ihrer WAC-Implementierung durch
  • Überprüfen Sie die Berechtigungen der Dienstkonten vierteljährlich
  • Testen Sie Katastrophenwiederherstellungsverfahren
  • Stellen Sie sicher, dass Sicherheitsbaselines eingehalten werden

Der größere Kontext: Risiken zentralisierter Verwaltungstools

CVE-2026-26119 ist kein Einzelfall. Es ist Teil eines breiteren Musters von Schwachstellen, die zentrale Managementplattformen angreifen:

Kürzliche Schwachstellen in Management-Tools:

  • VMware vCenter (CVE-2021-21985): Remote-Code-Ausführung via vSphere Client
  • SolarWinds Orion (SUNBURST): Supply-Chain-Angriff, der Tausende von Organisationen betrifft
  • ManageEngine (mehrere CVEs): Verschiedene Privilegien-Hochstufungen und RCE-Schwachstellen
  • Citrix ADC (CVE-2023-3519): Code-Injection, die zu unbefugtem Zugriff führt

Gemeinsames Merkmal:

Diese Tools teilen mehrere Eigenschaften, die sie zu attraktiven Zielen machen:

  1. Hohe Privilegien: Sie laufen mit umfangreichen Administratorrechten
  2. Breiter Zugriff: Sie verwalten mehrere Systeme von einem Punkt aus
  3. Vertrauenswürdige Position: Sie sind oft von Sicherheitskontrollen ausgenommen
  4. Lange Sitzungen: Administrative Sessions können über längere Zeit bestehen bleiben
  5. Komplexe Codebasen: Große Anwendungen mit umfangreichen Angriffsflächen

Verteidigungsstrategie:

Organisationen müssen erkennen, dass Management-Tools kritische Infrastruktur sind und die gleiche Sicherheitsrigor wie Domänencontroller und andere Tier-0-Assets benötigen.

Erkennung und Incident Response

Wenn Sie vermuten, dass Ihre Umgebung durch CVE-2026-26119 kompromittiert wurde, befolgen Sie diese Schritte:

Erkennungsindikatoren:

  1. Ungewöhnliche Kontenaktivität:

    • Niedrigprivilegierte Konten, die administrative Aufgaben ausführen
    • Service-Account-Logons aus unerwarteten Standorten
    • PowerShell-Befehle mit erhöhten Privilegien

  2. Anomalien im WAC-Gateway:

    • Fehlgeschlagene Authentifizierungsversuche, gefolgt von erfolgreichen hochprivilegierten Aktionen
    • API-Aufrufe mit fehlenden oder fehlerhaften Authent-Headers
    • Sitzungen mit Mustern der Privilegien-Hochstufung

  3. Systemänderungen:

    • Neue Domain-Admin-Konten erstellt
    • Unerwartete geplante Tasks oder Dienste
    • Geänderte Sicherheitsrichtlinien oder Gruppenmitgliedschaften

Schritte der Incident Response:

  1. Sofortige Eindämmung:

    • Isolieren Sie das WAC-Gateway vom Netzwerk
    • Deaktivieren Sie kompromittierte Dienstkonten
    • Setzen Sie Passwörter aller Administrator-Konten zurück

  2. Untersuchung:

    • Sammeln Sie Protokolle von WAC, Domänencontrollern und verwalteten Systemen
    • Überprüfen Sie Authentifizierungsprotokolle der letzten 90 Tage
    • Identifizieren Sie alle Systeme, die über die kompromittierte WAC-Instanz erreicht wurden

  3. Behebung:

    • Patchen Sie sofort auf Version 2511
    • Stellen Sie den WAC-Gateway-Host mit bekannten, sauberen Medien wieder her
    • Überprüfen und härten Sie die Berechtigungen der Dienstkonten
    • Implementieren Sie erweiterte Überwachung

  4. Wiederherstellung:

    • Überprüfen Sie die Integrität aller verwalteten Systeme
    • Setzen Sie das Kerberos KRBTGT-Passwort zweimal zurück (bei vermutetem Domänenkompromiss)
    • Dokumentieren Sie Erkenntnisse und aktualisieren Sie Runbooks

Perspektiven von Branchenexperten

Sicherheitsexperten betonen schnell die Schwere dieser Schwachstelle:

 “CVE-2026-26119 ist eine Erinnerung daran, dass in der modernen Unternehmens-IT eine einzige Fehlentscheidung in der Authentifizierungslogik zu großflächigem Kompromiss führen kann. Schnelles Patchen, sofortige Eindämmung und ein nachhaltiger Wandel hin zu Least Privilege, MFA und Zero Trust bei Management-Oberflächen sind der Weg zur Verteidigung.” - Windows Security Forum

 “Dies ist eine hochwirksame, netzwerk-exploitbare Schwachstelle in einem hochwertigen Management-Produkt. Die Kombination aus einem CVSS-Score von 8.8, einem Netzwerkangriffsvektor und der Möglichkeit, die Privilegien des WAC-Prozesses zu erben, macht das Risiko für jede Organisation, die Windows Admin Center nutzt, konkret und sofort.” - Security Analyst

Der Konsens ist klar: Organisationen müssen diese Schwachstelle mit der gebotenen Dringlichkeit behandeln.

Ausblick: Die Zukunft der Sicherheit von Windows Admin Center

Microsoft hat mehrere Sicherheitsverbesserungen für Windows Admin Center angekündigt:

Angekündigte Verbesserungen (Version 2511+):

  1. Security Baseline Tool: Durchsetzung von CIS, DISA STIG und FIPS-Standards via OSConfig mit Drift-Kontrolle
  2. Silicon Assisted Security: Konfigurationstools für Virtualization-Based Security (VBS), Secure Boot und TPM 2.0
  3. Windows LAPS Integration: Automatisiertes Management lokaler Administratorpasswörter
  4. Verbesserte Authentifizierung: Unterstützung für X509-Client-Zertifikate in SDN-Umgebungen
  5. Erweiterte Protokollierung: Unternehmensgerechte Audit-Trails und Event-Log-Integration

Zukünftige empfohlene Verbesserungen:

  • Just-In-Time (JIT) Zugriff: Zeitlich begrenzte Privilegienerhöhungen
  • Privileged Access Management (PAM): Integration mit PAM-Lösungen
  • Kontinuierliche Authentifizierung: Sitzungsvalidierung während der Verbindung
  • Anomalieerkennung: KI-gestützte Erkennung verdächtiger Muster

Fazit: Das Zeitalter des zentralisierten Risikos

Der Fehler “Domain Overlord” (CVE-2026-26119) zeigt ein kritisches Paradoxon in der modernen IT: Die Tools, die wir zur Erleichterung der Verwaltung nutzen, erleichtern auch den Angreifern die Arbeit, wenn sie nicht perfekt gesichert sind. Ein einzelner Fehler in der Authentifizierungslogik eines Management-Gateways kann Jahre der Arbeit an der Absicherung einzelner Server zunichtemachen.

Mit Blick auf 2026 ist die Lektion klar: Sichern Sie Ihre Management-Ebene zuerst. Wenn Ihr “Control Panel” verwundbar ist, ist Ihre gesamte Domäne bereits verloren.

Wichtige Erkenntnisse:

  1. Jetzt sofort aktualisieren auf Windows Admin Center Version 2511 oder höher
  2. Nie WAC als Domain Admin laufen lassen – verwenden Sie gMSA mit minimalen Rechten
  3. MFA implementieren für alle WAC-Zugriffe
  4. Netzwerk segmentieren zur Isolierung der Management-Infrastruktur
  5. Kontinuierlich überwachen auf anomale Privilegien-Hochstufungen
  6. WAC als Tier 0 Infrastruktur behandeln, die maximale Sicherheit erfordert
  7. Regelmäßige Sicherheitsüberprüfungen Ihrer Management-Tools sind essenziell

Ist Ihre Umgebung geschützt?

Die Offenlegung von CVE-2026-26119 bedeutet, dass Proof-of-Concept (PoC) Code wahrscheinlich im Untergrund kursiert. Warten Sie nicht, bis “Domain Overlord” Ihr Netzwerk übernimmt.

Handeln Sie noch heute:

  • Überprüfen Sie Ihre WAC-Version: Öffnen Sie WAC und prüfen Sie die Versionsnummer (sollte 2511 oder höher sein)
  • Überprüfen Sie die Berechtigungen Ihrer Dienstkonten
  • Aktivieren Sie erweitertes Logging und Monitoring
  • Planen Sie eine Sicherheitsbewertung Ihrer Management-Infrastruktur

Das Zeitfenster für Angreifer schließt sich, aber nur, wenn Sie jetzt handeln. Lassen Sie Ihr zentrales Verwaltungstool nicht zu Ihrer einzigen Schwachstelle werden.

Weitere Ressourcen

Über die Schwachstelle

  • CVE ID: CVE-2026-26119
  • CVSS Score: 8.8 (Hoch)
  • CWE Klassifikation: CWE-287 (Unzureichende Authentifizierung)
  • Entdeckungsdatum: Juli 2025
  • Patch-Veröffentlichung: 11. Dezember 2025 (Version 2511)
  • Öffentliche Offenlegung: 17. Februar 2026
  • Entdeckt von: Andrea Pierini, Semperis
  • Angriffsvektor: Netzwerk
  • Angriffs-Komplexität: Niedrig
  • Benötigte Privilegien: Niedrig
  • Benutzerinteraktion: Keine
  • Scope: Geändert
  • Vertraulichkeit: Hoch
  • Integrität: Hoch
  • Verfügbarkeit: Hoch

Bleiben Sie wachsam. Bleiben Sie gepatcht. Bleiben Sie sicher.

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.Use-case playbooksBrowse practical workflows for webhooks, OAuth callbacks, MCP tunnels, and demo links.

Related Topics

#CVE-2026-26119, Windows Admin Center vulnerability, Windows Admin Center privilege escalation, WAC privilege escalation, domain admin escalation, improper authentication flaw, Windows domain escalation, Active Directory privilege escalation, low privilege to domain admin, helpdesk to domain admin exploit, Windows Server security flaw, WAC authentication bypass, inherited permissions vulnerability, token impersonation attack, Windows management tool vulnerability, enterprise Windows exploit, AD security flaw, Windows Server 2026 vulnerability, improper access control Windows, authentication logic bug, lateral movement Active Directory, Windows infrastructure breach, admin rights escalation, Windows management plane attack, WAC security advisory, domain takeover vulnerability, enterprise privilege escalation, Windows admin tool exploit, identity and access misconfiguration, Windows server hardening, AD attack chain, privilege inheritance bug, Windows service account risk, elevated session hijacking, Windows security misconfiguration, domain controller risk, Windows RBAC bypass, role-based access control flaw, management console exploit, administrative context leak, Windows server attack surface, improper session validation, domain admin compromise, blue team detection Windows, red team Windows escalation, Windows incident response, patch management Windows Server, CVE Windows 2026, Windows infrastructure security, Windows enterprise security, privilege boundary failure, Windows authentication flow bug, remote management vulnerability, Windows admin panel exploit, enterprise IAM failure, credential abuse Windows, Windows security monitoring, domain privilege abuse, escalation via management console, Microsoft server security, Windows governance risk, security misconfiguration exploitation

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles