Um exploit ativo explora uma vulnerabilidade crítica no serviço Windows Netlogon, identificada como CVE-2026-41089, desde o final de maio de 2026. A falha permite que invasores assumam o controle total de controladores de domínio sem autenticação, exigindo correção imediata pelas organizações.
Detalhes técnicos do exploit
A falha é um buffer overflow baseado em pilha no serviço Netlogon do Windows, componente central responsável pela autenticação em ambientes de domínio Active Directory. O CVE-2026-41089 recebeu pontuação CVSS 9.8, a gravidade máxima.
O atacante envia uma requisição de rede especialmente elaborada a um controlador de domínio vulnerável. Não é preciso autenticação prévia, privilégios especiais ou qualquer interação do usuário — basta que o invasor tenha acesso à rede onde o controlador responde. O código malicioso é executado com privilégios SYSTEM, o nível mais alto do Windows.
Segundo pesquisadores da Rapid7, a vulnerabilidade oferece controle mais imediato do controlador de domínio do que o famoso Zerologon (CVE-2020-1472), que em 2020 comprometeu milhares de redes corporativas pelo mundo.
Sistemas afetados pela falha
A vulnerabilidade atinge todas as versões do Windows Server a partir do Windows Server 2012, incluindo edições mais recentes. Controladores de domínio são os alvos primários, pois concentram credenciais e políticas de toda a rede corporativa. O Patch Tuesday de maio de 2026 corrigiu a falha entre 137 vulnerabilidades do Windows.
| Parâmetro | Detalhe |
|---|---|
| Serviço afetado | Windows Netlogon |
| Tipo de falha | Buffer overflow na pilha |
| CVSS v3 | 9.8 (Crítico) |
| Privilégio necessário | Nenhum |
| Interação do usuário | Nenhuma |
| Impacto | RCE como SYSTEM |
| Versões afetadas | Windows Server 2012+ |
| Correção | Patch Tuesday maio 2026 |
Paralelo com o Zerologon
O Zerologon (CVE-2020-1472) explorou uma fraqueza criptográfica no mesmo serviço Netlogon, permitindo que atacantes redefinissem senhas de contas de computador no domínio. A nova falha é mais grave: em vez de apenas alterar credenciais, o invasor executa código arbitrário diretamente no controlador, obtendo controle total desde o primeiro contato.
A Microsoft classificou a probabilidade de exploração como “menos provável”, mas o Centro de Cibersegurança da Bélgica e outras agências emitiram alertas urgentes após a confirmação de exploração ativa em 29 de maio de 2026. A classificação da Microsoft se mostrou subestimada — cenário idêntico ao que ocorreu com o Zerologon em 2020.
O que fazer agora
Ações prioritárias para equipes de segurança corporativa:
- Aplicar imediatamente as atualizações do Patch Tuesday de maio de 2026 em todos os controladores de domínio, sem exceção
- Segmentar a rede para restringir o acesso aos controladores apenas a estações legítimas
- Monitorar logs do Netlogon em busca de padrões anômalos, como falhas de autenticação em massa ou conexões de origens incomuns
- Verificar indicadores de comprometimento anterior — o patch não remove acesso já obtido por invasores
- Revisar contas com privilégios administrativos de domínio e implementar autenticação multifator para todo acesso remoto