Desbordamiento de búfer en Netlogon permite a atacantes ejecutar código de forma remota en servidores Windows
Una sola petición de red puede abrir la puerta a un fallo cuyas consecuencias son más graves que las de un error común.
Los atacantes empezaron a explotar activamente una vulnerabilidad crítica en uno de los componentes clave de Windows Server apenas unas semanas después de la publicación del parche. El problema afecta al servicio Netlogon, que se encarga de la autenticación de usuarios y servicios en redes corporativas. Dada la amplia difusión de Netlogon, el nuevo vector de ataque podría representar una seria amenaza para las organizaciones de todo el mundo.
El inicio de la explotación de la vulnerabilidad CVE-2026-41089 (9.8 según la escala CVSS v3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) advirtió el Centro de Ciberseguridad de Bélgica. El organismo informó que el error ya se está usando en ataques reales y pidió a los administradores que instalen cuanto antes las actualizaciones de seguridad de mayo.
El problema está relacionado con un desbordamiento de búfer en el servicio Windows Netlogon. Según Microsoft, el error permite ejecutar código arbitrario de forma remota en el controlador de dominio sin autenticación previa ni privilegios.
Para que el ataque tenga éxito basta enviar una petición de red especialmente formada al servidor Windows que actúa como controlador de dominio. Si el procesado de la petición es incorrecto, el atacante puede ejecutar su propio código en el sistema afectado. La vulnerabilidad afecta a todas las versiones soportadas de Windows Server, incluida Windows Server 2025.
El regulador belga no reveló detalles sobre los ataques en curso ni especificó qué grupos están detrás de la explotación de la vulnerabilidad. Microsoft tampoco ha actualizado todavía el boletín de asesoramiento ni ha confirmado públicamente los reportes sobre un uso masivo del fallo.