Windows Netlogon CVE-2026-41089 explotado: Se necesita un parche prioritario

Los atacantes están explotando activamente una vulnerabilidad crítica de Windows Netlogon que Microsoft parcheó hace tres semanas y evaluó como poco probable de explotar. El Centro de Ciberseguridad de Bélgica emitió una advertencia de explotación el 29 de mayo, elevando el perfil de riesgo de todo entorno Windows Server no parcheado que funcione como controlador de dominio. Aunque Microsoft declaró el 1 de junio que todavía está validando esas afirmaciones y que aún no ha actualizado su portal MSRC, se insta a los equipos de seguridad a que no esperen.

CVE-2026-41089 es un desbordamiento de búfer basado en pila en el servicio Netlogon con una puntuación CVSS de 9,8. Un atacante remoto no autenticado envía una solicitud de red crafteada a un servidor Windows Server que actúa como controlador de dominio. Si tiene éxito, el servicio Netlogon maneja mal la solicitud, permitiendo al atacante ejecutar código arbitrario con privilegios de SYSTEM. Sin credenciales. Sin interacción del usuario. No se necesita acceso previo.

Por qué la preocupación

Microsoft parcheó la CVE-2026-41089 el 12 de mayo como parte de su martes de parches de mayo, que abordó 138 CVEs en total. A pesar de la calificación de gravedad de 9,8, Redmond evaluó el fallo como "explotación menos probable" en el momento de su publicación. Esa brecha entre la evaluación oficial y los informes sobre amenazas en el mundo real es exactamente lo que está cogiendo desprevenidos a los equipos de seguridad de las empresas.

El aviso de CCB llegó 17 días después de la caída del parche. Eso está bien dentro de la ventana que operan muchos ciclos de parches empresariales. Las organizaciones que tratan las actualizaciones del martes de parches como un programa de despliegue de 30 días en lugar de como una prioridad inmediata están actualmente expuestas.

Windows Netlogon CVE-2026-41089: Qué está en riesgo

Los controladores de dominio son la columna vertebral de autenticación https://www.helpnetsecurity.com/2026/06/01/windows-netlogon-rce-exploited-cve-2026-41089/ de los entornos Active Directory. La explotación exitosa de CVE-2026-41089 proporciona a un atacante la ejecución de código a nivel de SISTEMA en el propio controlador de dominio, lo que en la práctica significa el control total del dominio de Active Directory, la capacidad de crear cuentas privilegiadas y el movimiento lateral a través de cada sistema que se autentique contra ese controlador.

Jack Bicer, director de investigación de vulnerabilidades de Action1, señaló el fallo en el momento de aplicar el parche: "Esta CVE requiere atención inmediata. Los ataques exitosos pueden conducir a un compromiso generalizado de los puntos finales, el despliegue de ransomware, la recolección de credenciales y la interrupción operativa en todas las redes corporativas."

Qué se puede hacer

Aplique inmediatamente la actualización acumulativa del 12 de mayo si no se ha desplegado. La corrección está incluida en la actualización estándar de Windows Server para todas las versiones compatibles. Aísle los controladores de dominio de la exposición directa a Internet y restrinja el tráfico de Netlogon únicamente a fuentes internas autenticadas. El 9 de junio es el próximo martes de parches y la última ventana de actualización antes del 24-27 de junio Certificado Secure Boot de junio, lo que añade más urgencia para completar el despliegue de mayo antes de esa fecha.