Danny Weber
La vulnerabilidad crítica CVE-2026-41089 en Netlogon de Windows ya se explota activamente. Permite ejecución remota de código con privilegios SYSTEM. Aplique el parche de mayo.
Una vulnerabilidad crítica en el servicio Netlogon de Windows, registrada como CVE-2026-41089, ya se está explotando activamente en ataques reales. El fallo afecta a los servidores Windows que funcionan como controladores de dominio y tiene una puntuación CVSS de 9,8. Si se explota con éxito, permite a un atacante ejecutar código arbitrario con privilegios de SYSTEM sin necesidad de credenciales, interacción del usuario ni acceso previo a la red.
Microsoft solucionó el problema el 12 de mayo como parte de su actualización mensual de Patch Tuesday, que corrigió un total de 138 CVE. En un principio, la compañía consideró baja la probabilidad de explotación. Sin embargo, el 29 de mayo, el Centro de Ciberseguridad de Bélgica alertó sobre ataques activos, y para el 1 de junio Microsoft confirmó que aún investigaba los informes y no había actualizado el portal MSRC.
La gravedad de CVE-2026-41089 radica en el papel crucial que desempeñan los controladores de dominio en Active Directory. Netlogon gestiona mecanismos de autenticación esenciales, y comprometer un controlador de dominio entrega al atacante el control total sobre todo el entorno del dominio. Esto puede derivar en la creación de cuentas privilegiadas, robo de datos, despliegue de ransomware y movimiento lateral dentro de la red corporativa.
La vulnerabilidad es un desbordamiento de búfer basado en pila. El atacante solo tiene que enviar una solicitud de red especialmente diseñada a un controlador de dominio. Si el sistema no está actualizado, el servicio Netlogon puede procesar incorrectamente la solicitud, permitiendo la ejecución de código con los máximos privilegios del sistema.
Los expertos urgen a las organizaciones a no esperar más confirmación y a aplicar de inmediato la actualización acumulativa de Windows Server del 12 de mayo si aún no lo han hecho. También recomiendan restringir el acceso a los controladores de dominio desde redes externas y permitir el tráfico de Netlogon solo desde fuentes internas de confianza. Para las empresas que suelen retrasar la aplicación de parches durante 30 días, esta vulnerabilidad resulta especialmente peligrosa: la ventana entre el lanzamiento del parche y los informes de explotación ya ha demostrado ser alarmantemente corta.
© E. Vartanyan