Vulnerabilidade zero-click em controladores
A falha CVE-2026-41089, RCE no Windows Netlogon com CVSS 9.8, está sendo ativamente explorada, alertou o Centre for Cybersecurity Belgium em 30 de maio. Invasores sem autenticação executam código com privilégios SYSTEM em controladores de domínio via requisição maliciosa ao Netlogon. A Microsoft corrigiu a falha no Patch Tuesday de 12 de maio de 2026.
Como o ataque funciona
A vulnerabilidade é um buffer overflow baseado em pilha no protocolo Netlogon, o serviço responsável pela autenticação de usuários e serviços em domínios Windows. Um atacante com acesso à rede envia um pacote Netlogon malicioso ao controlador de domínio. Como o serviço não valida corretamente o tamanho dos dados de entrada, o atacante consegue sobrescrever a pilha de execução e rodar código arbitrário com privilégios máximos (SYSTEM) — sem necessidade de credenciais, sem interação do usuário (zero-click). Trata-se da mesma classe de falha que já ameaçou controladores de domínio Windows em episódios anteriores.
O resultado prático é a tomada completa do domínio: o atacante pode implantar ransomware, criar contas de administrador, desativar controles de segurança e mover-se lateralmente por toda a infraestrutura corporativa. A falha afeta todas as versões suportadas do Windows Server, incluindo o Windows Server 2025, e foi descoberta pela equipe interna da Microsoft, o Windows Attack Research & Protection (WARP).
Contexto das vulnerabilidades Windows
A exploração da CVE-2026-41089 ocorre no contexto de uma campanha mais ampla de divulgação de zero-days Windows pelo pesquisador anônimo “Nightmare Eclipse”, que divulgou seis zero-days do Windows sem aviso prévio, incluindo bypass do BitLocker (CVE-2026-45585), escalação de privilégios no Defender (CVE-2026-41091) e bloqueio de atualizações do Microsoft Defender (CVE-2026-45498). A Microsoft reagiu com ameaças veladas de ação legal, mas as PoCs continuam circulando publicamente, e pesquisadores de segurança e empresas de IA já publicaram análises de causa raiz da falha Netlogon.
| Vulnerabilidade | CVE | Tipo | Status |
|---|---|---|---|
| Netlogon RCE | CVE-2026-41089 | Execução remota de código | Exploração ativa |
| BlueHammer | CVE-2026-33825 | Escalação de privilégios | Exploração ativa |
| RedSun | CVE-2026-41091 | Escalação via Defender | Exploração ativa |
| YellowKey | CVE-2026-45585 | Bypass do BitLocker | Mitigações disponíveis |
| UnDefend | CVE-2026-45498 | Bloqueio de atualizações | PoC publicado |
O que fazer agora
Administradores devem aplicar imediatamente os patches do Patch Tuesday de maio de 2026 em todos os controladores de domínio — priorizando aqueles expostos a redes não confiáveis. Para servidores legados (2008 R2, 2012, 2012 R2), a Acros Security disponibilizou micropatches. Restrinja o tráfego Netlogon na camada de rede e monitore eventos de autenticação anômalos, criação de contas administrativas e tráfego incomum em controladores de domínio.