Atacantes explotan activamente una vulnerabilidad crítica en Netlogon de Windows Server

Fuentes: Codeausführung möglich: kritische Lücke in Windows Server wird aktiv ausgenutzt, heise.de
Imagen generada por IA con el prompt: Dark server rack glowing red warning lights, tangled network cables, abstract binary code streams flowing, cybersecurity threat atmosphere, cinematic mood
Imagen generada con IA

Atacantes explotan activamente una vulnerabilidad crítica en Netlogon de Windows Server

La agencia belga de ciberseguridad CCB (Centre for Cyber Security Belgium) ha confirmado que piratas informáticos están aprovechando de forma activa una vulnerabilidad crítica en el componente Netlogon de Windows Server para infiltrarse en redes corporativas. Identificada como CVE-2026-41089, la falla recibió un puntaje CVSS de 9.8 sobre 10, lo que la sitúa en la categoría de "crítica". Aunque Microsoft publicó los parches correspondientes el pasado 12 de mayo dentro de su paquete mensual de actualizaciones, los administradores de sistemas que aún no hayan aplicado las correcciones se encuentran en una situación de riesgo inminente, según alerta la CCB.

De acuerdo con la información divulgada por la autoridad belga y recogida por la publicación alemana heise.de, la vulnerabilidad consiste en un desbordamiento de búfer en la pila (stack buffer overflow) que puede activarse mediante el envío de un paquete manipulado al controlador de dominio. Para la explotación basta con una solicitud aparentemente inocua: un paquete LDAP enviado por UDP conocido como CLDAP Locator Ping. Un investigador publicó en GitHub un supuesto exploit de prueba de concepto (PoC) que aprovecha un parámetro de nombre de usuario excesivamente largo en dicho paquete para provocar el desbordamiento.

El PoC disponible públicamente se limita, por ahora, a provocar la caída del servicio LSASS (Local Security Authority Subsystem Service), responsable de gestionar las políticas de seguridad y la autenticación en Windows. No obstante, la propia Microsoft advierte en su boletín de seguridad que la inyección de código malicioso es técnicamente posible, lo que justifica la calificación crítica de la vulnerabilidad. En la práctica, esto significa que un atacante podría no solo interrumpir el servicio, sino también ejecutar código arbitrario con privilegios elevados en el servidor afectado.

La vulnerabilidad afecta a todas las versiones de Windows Server actualmente soportadas, incluida la más reciente, Windows Server 2025. Esto convierte el fallo en una amenaza especialmente amplia, dado que Netlogon es un componente esencial en cualquier entorno de Active Directory y está presente de forma prácticamente universal en las infraestructuras empresariales. El paquete de parches de mayo de Microsoft, publicado en el marco del conocido Patch Tuesday, incluyó en total 118 vulnerabilidades, 16 de ellas catalogadas como críticas, pero la de Netlogon destaca por la gravedad de su impacto potencial.

Para los administradores que necesiten determinar si sus sistemas ya han sido comprometidos, los expertos recomiendan revisar los registros del sistema en busca de dos indicadores clave: por un lado, solicitudes CLDAP con un atributo "User" de longitud inusualmente grande; por otro, caídas del servicio LSASS con el identificador de evento 1000 asociadas al archivo netlogon.dll. La presencia de cualquiera de estas señales en los logs de un servidor sin parchear debería interpretarse como un indicio fuerte de actividad maliciosa previa o en curso.

El caso pone de relieve un debate más amplio que sacude actualmente a la comunidad de ciberseguridad: la gestión que Microsoft hace de los hallazgos de vulnerabilidad, en particular su relación con investigadores anónimos como el conocido como "Chaotic Eclipse". La compañía ha sido criticada en los últimos meses por su manejo de las divulgaciones responsables, hasta el punto de que algunos expertos han amenazado con acciones legales. Este clima de tensión entre el gigante de Redmond y la comunidad de seguridad añade una capa de complejidad a la respuesta ante amenazas como la actual, en la que la velocidad de reacción resulta determinante.

En un contexto donde los exploits funcionales circulan con rapidez tras la publicación de los parches —y donde los grupos de ransomware y los actores estatales suelen instrumentalizar este tipo de fallos en cuestión de horas o días—, la recomendación es clara: cualquier organización que ejecute Windows Server debe verificar de inmediato el estado de las actualizaciones de mayo y, en caso necesario, desplegar los parches sin demora. Paralelamente, conviene auditar los registros en busca de signos de intrusión previa, ya que la ventana de exposición ha sido lo suficientemente amplia como para que algunos sistemas hayan podido ser comprometidos antes de la divulgación pública.

Por el momento, no se han publicado detalles sobre la magnitud de los ataques detectados ni sobre la identidad de los grupos amenazantes que estarían detrás de la explotación. Sin embargo, la confirmación oficial por parte de una agencia gubernamental como la CCB belga indica que la amenaza ha superado la fase teórica y se encuentra en fase de explotación real, lo que subraya la urgencia de adoptar medidas defensivas cuanto antes.