La Agencia belga de ciberseguridad CCB ha alertado de que atacantes están explotando de forma activa una vulnerabilidad crítica en el componente Netlogon de Windows Server para infiltrarse en redes corporativas. La brecha, registrada como CVE-2026-41089, permite la ejecución remota de código mediante un paquete manipulado dirigido al controlador de dominio.
La vulnerabilidad consiste en un desbordamiento de búfer en la pila (stack buffer overflow) en el parámetro de nombre de usuario de un paquete LDAP enviado por UDP, conocido como CLDAP Locator Ping. Microsoft la clasifica como crítica con una puntuación CVSS de 9,8 sobre 10. Un exploit de prueba de concepto (PoC) publicado en GitHub provoca, por ahora, caídas del servicio LSASS, aunque la propia compañía reconoce que también es viable inyectar código malicioso.
Microsoft distribuyó los parches el pasado 12 de mayo dentro de su ciclo mensual de actualizaciones. Los administradores que aún no los hayan aplicado deben hacerlo con urgencia y revisar los registros del sistema en busca de indicios de intrusión: peticiones CLDAP con un atributo "User" de longitud anómala o caídas de LSASS con el identificador de evento 1000 asociado a netlogon.dll.
La falla afecta a todas las versiones de Windows Server con soporte activo, incluida la más reciente, Windows Server 2025. El episodio se enmarca en el debate actual sobre la gestión de vulnerabilidades por parte de Microsoft, intensificado por su relación con el investigador anónimo conocido como "Chaotic Eclipse".