Falha crítica no Windows Netlogon está sendo explorada ativamente, alerta autoridade belga

Pesquisadores da Microsoft descobriram uma vulnerabilidade grave no serviço Netlogon do Windows e autoridades de segurança já registraram ataques explorando a brecha em ambientes reais.

O Centro para a Cibersegurança da Bélgica (CCB) emitiu um alerta na última sexta-feira informando que criminosos estão explorando ativamente a falha, identificada como CVE-2026-41089. A recomendação é que administradores de sistemas apliquem o patch imediatamente.

O que é o Netlogon

O Netlogon é um serviço que roda em segundo plano em servidores Windows. A função dele é verificar a identidade de usuários e máquinas dentro de uma rede corporativa, basicamente o portão de entrada de ambientes com domínio Windows.

Por ser central na infraestrutura de autenticação, falhas no Netlogon costumam ter impacto alto. Se um atacante comprometer esse serviço, ele pode ganhar controle sobre o controlador de domínio, o servidor que gerencia todo o acesso à rede.

Como o ataque funciona

A vulnerabilidade é classificada como um stack-based buffer overflow. Em linguagem simples, isso significa que um invasor consegue enviar um pacote de rede especialmente manipulado que faz o serviço processar mais dados do que ele está preparado para receber.

Quando isso acontece, o atacante pode executar código arbitrário na máquina alvo sem precisar de senha, sem precisar estar autenticado, e sem nenhum acesso prévio ao sistema. A pontuação da falha no sistema CVSS 3.1 é 9.8, valor máximo praticamente.

Quem está em risco

Todos os sistemas Windows Server com suporte ativo são afetados, incluindo o Windows Server 2025, a versão mais recente. A falha foi corrigida pela Microsoft no Patch Tuesday de maio de 2026, que também endereçou outros 119 problemas de segurança.

A própria Microsoft descobriu a brecha internamente, por meio do seu time de pesquisa ofensiva WARP (Windows Attack Research & Protection). Mesmo assim, até o momento em que o alerta belga foi publicado, a empresa ainda não havia confirmado oficialmente a exploração ativa.

Contexto mais amplo de ameaças ao Windows

O alerta do CCB vem em um momento de pressão crescente sobre o ecossistema Windows. Nas últimas semanas, um pesquisador anônimo identificado como Nightmare Eclipse divulgou uma série de vulnerabilidades zero-day sem coordenação prévia com a Microsoft.

Entre as falhas reveladas estão o YellowKey, que permite acesso a drives protegidos pelo BitLocker, o BlueHammer e o RedSun, dois bugs de escalonamento de privilégios já explorados em ataques reais, o GreenPlasma e o MiniPlasma, que concedem privilégios de SYSTEM, e o UnDefend, que bloqueia atualizações de definições do Microsoft Defender.

A Microsoft reagiu primeiro com ameaças veladas de ação legal e depois com uma declaração pública dizendo que vai “trabalhar com as autoridades competentes quando indivíduos violam a lei e causam danos reais aos nossos clientes”.

O que fazer agora

Para redes com controladores de domínio Windows, a orientação é direta. Aplique o patch do Patch Tuesday de maio de 2026 o quanto antes. Enquanto a atualização não for aplicada, qualquer servidor Windows exposto à rede está potencialmente vulnerável a comprometimento remoto sem autenticação.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.