Microsoft va tapar CVE-2026-41089 al Patch Tuesday del 12 de maig de 2026. És un error a Netlogon, el servei que els controladors de domini fan servir per autenticar màquines i usuaris dins d’Active Directory. Té un CVSS de 9.8, gairebé el màxim que es reparteix, i setmanes després va deixar de ser un risc teòric: el Centre de Ciberseguretat de Bèlgica va avisar que ja s’estava utilitzant en atacs reals contra controladors de domini.
Què falla exactament
El problema és un desbordament de buffer basat en pila dins de Netlogon. Un atacant envia una petició de xarxa preparada al servidor que actua com a controlador de domini i, amb això, aconsegueix sobreescriure memòria de la pila fins a executar el seu propi codi.
El que el fa especialment perillós és el que no cal per explotar-lo. No necessites credencials, ni un compte, ni haver-te autenticat abans. Només cal poder parlar amb el servei Netlogon per la xarxa. Si hi arribes, pots acabar executant codi amb privilegis SYSTEM, que en un controlador de domini equival a quedar-te amb el control de tot el domini Active Directory: usuaris, equips, polítiques i credencials.
A qui afecta
A totes les versions de Windows Server amb suport que facin de controlador de domini, inclosa Windows Server 2025. Aquí la peça clau és el rol, no tant l’edició: un controlador de domini exposa Netlogon per disseny, així que el servei hi és escoltant.
A la majoria de xarxes els controladors de domini no haurien de ser accessibles des d’Internet, cosa que redueix el risc d’un atac purament extern. El problema real és el moviment lateral. A un atacant que ja ha entrat en qualsevol màquina de la xarxa interna —un portàtil compromès per phishing, per exemple— aquest error li serveix per saltar directe al controlador de domini i fer-se amb les claus del regne.
Gravetat i explotació
Qui va trobar l’error va ser l’equip intern de Microsoft (Windows Attack Research & Protection), no un actor extern, així que el pegat va arribar abans que hi hagués explotació pública coneguda. La situació va canviar a finals de maig de 2026, quan el Centre de Ciberseguretat de Bèlgica va confirmar, a partir d’avisos de socis de confiança, que la vulnerabilitat ja s’estava explotant contra controladors de domini.
La combinació és la que més preocupa: remot, sense autenticació, CVSS 9.8, control total del domini i explotació activa confirmada. Per la naturalesa de Netlogon i pel pes històric d’errors semblants en aquest servei, val la pena tractar-lo amb la màxima prioritat.
Com protegir-te
Aplica les actualitzacions de seguretat de maig de 2026 a tots els controladors de domini. No n’hi ha prou de pegar-ne un: mentre quedi un sol controlador sense actualitzar, el domini continua exposat. Si tens sistemes que encara no has actualitzat, instal·la ja les últimes actualitzacions de seguretat.
Mentre desplegues els pegats, revisa que els controladors de domini no siguin accessibles des de xarxes que no ho necessitin i limita l’accés a Netlogon al mínim imprescindible. I revisa els registres buscant peticions anòmales cap al servei, sobretot si a la teva xarxa ja hi ha hagut indicis d’intrusió.
Si gestiones un entorn Windows Server amb Active Directory, aquest error encaixa amb el patró d’altres zero-day recents contra el rol de servidor, com ara l’escalada a SYSTEM a Remote Desktop Services (CVE-2026-21533). Mantenir el calendari de pegats al dia continua sent la defensa més eficaç.
Font
- BleepingComputer: Critical Windows Netlogon remote code execution flaw now exploited in attacks
- NVD: CVE-2026-41089