Se ha detectado la explotación activa de una vulnerabilidad crítica de ejecución remota de código (RCE) en Windows Netlogon, identificada como CVE-2026-41089. Este fallo afecta a los servidores de Windows configurados como controladores de dominio, permitiendo que atacantes remotos no autenticados ejecuten código arbitrario con privilegios de nivel SYSTEM.

La vulnerabilidad crítica de ejecución remota de código (RCE) de Windows Netlogon, rastreada como CVE-2026-41089, está siendo explotada activamente en el entorno real, lo que eleva significativamente el perfil de riesgo para los entornos de Windows Server que no han sido parcheados.

El fallo afecta a los servidores Windows configurados como controladores de dominio y permite que atacantes remotos no autenticados ejecuten código arbitrario con privilegios de nivel SYSTEM mediante el envío de solicitudes de red Netlogon especialmente diseñadas.

Divulgada y parcheada como parte del lanzamiento del Patch Tuesday de Microsoft de mayo de 2026, la CVE-2026-41089 está calificada como crítica debido a su combinación de explotabilidad remota, la falta de interacción requerida por parte del usuario y el potencial de toma de control completa del dominio.

El Centro de Ciberseguridad de Bélgica (CCB) ha emitido una advertencia dedicada destacando esta vulnerabilidad entre los 118 fallos abordados en el paquete de parches de mayo de 2026, de los cuales 16 están clasificados como críticos.

Explotación de RCE de 0 clics en Windows Netlogon

Para explotar la CVE-2026-41089, un atacante solo necesita acceso de red al servicio Netlogon de un controlador de dominio vulnerable. Al enviar una solicitud de red Netlogon especialmente diseñada, el adversario puede provocar un manejo incorrecto dentro del servicio, lo que conduce a la ejecución de código arbitrario bajo privilegios de SYSTEM.

No se requiere autenticación previa, acceso local ni interacción del usuario, lo que convierte a esta vulnerabilidad en una candidata ideal para la explotación automatizada, el movimiento lateral y la rápida vulneración del dominio una vez que un atacante logra establecer un punto de apoyo en la red.

Microsoft ha publicado actualizaciones de seguridad para todas las versiones compatibles de Windows Server desde 2012 en adelante, cubriendo controladores de dominio en una amplia gama de despliegues empresariales.

Dado el papel central de Active Directory en la identidad, el control de acceso y la autenticación, la vulneración de un controlador de dominio a través de Netlogon puede permitir que los atacantes desplieguen malware, creen o modifiquen cuentas, desactiven controles de seguridad y se desplacen a través de sistemas críticos.

Guía urgente de parcheo, monitoreo y detección

El CCB recomienda encarecidamente que priorices el despliegue de los parches para la CVE-2026-41089 tras realizar las pruebas oportunas, tratando esto como un elemento de remediación de emergencia de primer nivel.

Los controladores de dominio, especialmente aquellos expuestos a redes no confiables o segmentadas, deben ser parcheados primero para reducir la ventana de exposición.

Además del parcheo, se te insta a intensificar los esfuerzos de monitoreo y detección de actividades sospechosas relacionadas con Netlogon. Esto incluye analizar comportamientos de autenticación anómalos, tráfico inusual del controlador de dominio y posibles signos de escalada de privilegios o la creación de nuevas cuentas administrativas tras eventos de Netlogon. La detección temprana es fundamental para contener las intrusiones que aprovechan esta vulnerabilidad, especialmente dado su estado de explotación activa.

Tus equipos de seguridad también deberían revisar la segmentación de la red y los controles de acceso alrededor de los controladores de dominio, asegurando que solo los sistemas y servicios necesarios puedan comunicarse con Netlogon a través de los puertos correspondientes.

Combinados con el despliegue rápido de parches y un monitoreo mejorado, estos pasos son esenciales para mitigar la amenaza inmediata que representa la CVE-2026-41089 en las campañas de explotación actuales.