Falha crítica no Netlogon do Windows está sendo explorada ativamente — CVE-2026-41089 exige patch imediato

Lead

Uma vulnerabilidade crítica no serviço Netlogon do Windows está sendo explorada ativamente por atacantes, colocando em risco toda a infraestrutura de autenticação de redes corporativas que utilizam controladores de domínio Microsoft. Identificada como CVE-2026-41089 e classificada com nota máxima de gravidade 9.8 na escala CVSS, a falha não exige nenhuma credencial prévia para ser explorada — basta que o sistema esteja acessível pela rede para que um atacante possa assumir controle total da máquina.

O que é a vulnerabilidade

A CVE-2026-41089 é um estouro de buffer baseado em pilha (stack-based buffer overflow) no componente Netlogon do Windows, responsável por gerenciar autenticações e comunicações RPC entre dispositivos e controladores de domínio. Um atacante remoto, sem qualquer privilégio, pode enviar pacotes especialmente construídos ao serviço vulnerável e acionar o estouro, obtendo execução de código arbitrário com privilégios de sistema (SYSTEM). O ataque é completamente sem clique (zero-click): não requer interação da vítima. Todas as versões do Windows Server com suporte ativo são afetadas, do Server 2012 ao mais recente Windows Server 2025.

Exploração ativa e a resposta da Microsoft

O Centre for Cybersecurity Belgium (CCB), autoridade nacional de cibersegurança da Bélgica, foi o primeiro organismo a alertar publicamente que a falha já estava sendo utilizada em ataques reais, poucos dias após a divulgação da correção, em 12 de maio de 2026. A agência declarou ter recebido informações sobre a exploração ativa por meio de parceiros de confiança. A Microsoft, que havia descoberto a vulnerabilidade internamente por meio de sua equipe WARP (Windows Attack Research & Protection), inicialmente afirmou não ter encontrado evidências de exploração, mas logo recomendou a aplicação imediata das atualizações. A correção foi disponibilizada no Patch Tuesday de maio de 2026, ciclo que tratou mais de 130 vulnerabilidades ao todo.

Impacto potencial para as organizações

O risco representado por essa falha vai além do servidor diretamente comprometido. Controladores de domínio são o coração da infraestrutura de identidade em ambientes Windows: quem os controla pode mover-se lateralmente pela rede, roubar credenciais em massa, alterar políticas de acesso e comprometer toda a organização de forma silenciosa. Ambientes que integram Active Directory com Samba também figuram entre os potencialmente afetados. A janela entre a publicação de um proof-of-concept e o início dos ataques em larga escala tende a ser cada vez mais curta — e neste caso, a exploração foi confirmada ainda na primeira semana após o patch.

O que fazer agora

Administradores de sistemas Windows Server devem aplicar as atualizações de segurança de maio de 2026 sem demora, priorizando controladores de domínio expostos ou acessíveis internamente. Como medidas complementares, especialistas recomendam restringir o acesso desnecessário ao serviço RPC, monitorar eventos do Netlogon em busca de atividade anômala, auditar contas privilegiadas e reforçar a segmentação de rede. A implementação de autenticação multifator em acessos administrativos também reduz o raio de impacto em caso de comprometimento. Organizações que ainda não aplicaram o patch devem tratar a atualização como emergência operacional.

Fonte original: SempreUpdate — Falha crítica no Netlogon do Windows em ataques ativos | CVE-2026-41089 — publicado em 3 de junho de 2026. Informações corroboradas por BleepingComputer, SecurityWeek e NVD.