Microsoft tapó CVE-2026-41089 en el Patch Tuesday del 12 de mayo de 2026. Es un fallo en Netlogon, el servicio que los controladores de dominio usan para autenticar máquinas y usuarios dentro de Active Directory. Tiene un CVSS de 9.8, prácticamente lo más alto que se reparte, y semanas después dejó de ser un riesgo teórico: el Centro de Ciberseguridad de Bélgica avisó de que ya se estaba usando en ataques reales contra controladores de dominio.
Qué falla exactamente
El problema es un desbordamiento de buffer basado en pila dentro de Netlogon. Un atacante envía una petición de red preparada al servidor que actúa como controlador de dominio y, con ella, consigue sobrescribir memoria de la pila para acabar ejecutando su propio código.
Lo que lo hace especialmente peligroso es lo que no hace falta para explotarlo. No necesitas credenciales, ni una cuenta, ni haberte autenticado antes. Basta con poder hablar con el servicio Netlogon por la red. Si llegas hasta él, puedes terminar ejecutando código con privilegios SYSTEM, que en un controlador de dominio equivale a quedarte con el control de todo el dominio Active Directory: usuarios, equipos, políticas y credenciales.
A quién afecta
A todas las versiones de Windows Server con soporte que ejerzan de controlador de dominio, incluida Windows Server 2025. Aquí la pieza clave es el rol, no tanto la edición: un controlador de dominio expone Netlogon por diseño, así que el servicio está ahí escuchando.
En la mayoría de redes los controladores de dominio no deberían estar accesibles desde Internet, lo que reduce el riesgo de un ataque puramente externo. El problema real es el movimiento lateral: a un atacante que ya ha entrado en cualquier máquina de la red interna —un portátil comprometido por phishing, por ejemplo— este fallo le sirve para saltar directo al controlador de dominio y hacerse con las llaves del reino.
Gravedad y explotación
Quien encontró el fallo fue el equipo interno de Microsoft (Windows Attack Research & Protection), no un actor externo, así que el parche llegó antes de que hubiera explotación pública conocida. La situación cambió a finales de mayo de 2026, cuando el Centro de Ciberseguridad de Bélgica confirmó, a partir de avisos de socios de confianza, que la vulnerabilidad ya se estaba explotando contra controladores de dominio.
La combinación es la que más preocupa: remoto, sin autenticación, CVSS 9.8, control total del dominio y explotación activa confirmada. Por la naturaleza de Netlogon y por el peso histórico de fallos similares en este servicio, conviene tratarlo con la máxima prioridad.
Cómo protegerte
Aplica las actualizaciones de seguridad de mayo de 2026 en todos los controladores de dominio. No basta con parchear uno: mientras quede un solo controlador sin actualizar, el dominio sigue expuesto. Si tienes sistemas que aún no has actualizado, instala ya las últimas actualizaciones de seguridad.
Mientras despliegas los parches, revisa que los controladores de dominio no sean accesibles desde redes que no lo necesiten y segmenta el acceso a Netlogon al mínimo imprescindible. Y revisa los registros en busca de peticiones anómalas hacia el servicio, sobre todo si en tu red ya ha habido indicios de intrusión.
Si gestionas un entorno Windows Server con Active Directory, este fallo encaja con el patrón de otros zero-day recientes contra el rol de servidor, como la escalada a SYSTEM en Remote Desktop Services (CVE-2026-21533). Mantener el calendario de parches al día sigue siendo la defensa más eficaz.
Fuente
- BleepingComputer: Critical Windows Netlogon remote code execution flaw now exploited in attacks
- NVD: CVE-2026-41089