{"id":5072,"date":"2026-06-03T15:11:11","date_gmt":"2026-06-03T20:11:11","guid":{"rendered":"https:\/\/cert.pa\/?p=5072"},"modified":"2026-06-03T15:11:11","modified_gmt":"2026-06-03T20:11:11","slug":"csirt-panama-aviso-2026-06-03-vulnerabilidad-critica-de-ejecucion-remota-de-codigo-en-windows-netlogon-explotada-activamente-cve-2026-41089","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=5072","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2026-06-03: Vulnerabilidad Cr\u00edtica de Ejecuci\u00f3n Remota de C\u00f3digo en Windows Netlogon Explotada Activamente (CVE-2026-41089)"},"content":{"rendered":"<p><strong>Gravedad:<\/strong> Cr\u00edtica \u00a0\u00a0\u00a0 <strong>Fecha de publicaci\u00f3n:<\/strong> 03 de junio de 2026 \u00a0\u00a0\u00a0 <strong>\u00daltima revisi\u00f3n:<\/strong> 03 de junio de 2026<\/p>\n<h2>Sistemas Afectados<\/h2>\n<ul>\n<li>Windows Server 2025<\/li>\n<li>Windows Server 2022<\/li>\n<li>Windows Server 2019<\/li>\n<li>Windows Server 2016<\/li>\n<li>Windows Server 2012 R2<\/li>\n<li>Todos los controladores de dominio (Domain Controllers) sin el parche de mayo 2026<\/li>\n<\/ul>\n<table>\n<tbody>\n<tr>\n<td><strong>Identificador CVE<\/strong><\/td>\n<td>CVE-2026-41089<\/td>\n<\/tr>\n<tr>\n<td><strong>CVSS Score<\/strong><\/td>\n<td>9.8 (Cr\u00edtica)<\/td>\n<\/tr>\n<tr>\n<td><strong>Tecnolog\u00eda<\/strong><\/td>\n<td>Microsoft Windows Server (todas las versiones soportadas, incluyendo Windows Server 2025)<\/td>\n<\/tr>\n<tr>\n<td><strong>Fuente<\/strong><\/td>\n<td>BleepingComputer<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>I. Descripci\u00f3n<\/h2>\n<p>Actores de amenazas est\u00e1n explotando activamente la vulnerabilidad CVE-2026-41089, un desbordamiento de b\u00fafer basado en pila (stack-based buffer overflow) en el servicio Windows Netlogon, parcheada por Microsoft durante el Patch Tuesday de mayo de 2026. El Centro de Ciberseguridad de B\u00e9lgica (CCB) emiti\u00f3 una alerta urgente el 1 de junio de 2026 confirmando su explotaci\u00f3n en entornos reales con una puntuaci\u00f3n CVSS de 9.8.<\/p>\n<p>Netlogon es un servicio cr\u00edtico de Windows Server que autentica servicios y usuarios en redes basadas en dominios. La vulnerabilidad permite a atacantes sin privilegios enviar solicitudes de red especialmente dise\u00f1adas a un servidor que act\u00fae como controlador de dominio, logrando ejecuci\u00f3n remota de c\u00f3digo sin necesidad de autenticaci\u00f3n previa. Un atacante que explote esta falla exitosamente podr\u00eda ejecutar c\u00f3digo arbitrario en el sistema afectado con privilegios elevados.<\/p>\n<p>La vulnerabilidad fue descubierta por el equipo interno de investigaci\u00f3n ofensiva de Microsoft (WARP) y parcheada en mayo de 2026. Sin embargo, sistemas sin el parche aplicado contin\u00faan siendo objetivo activo de ataques, lo que hace cr\u00edtica su remediaci\u00f3n inmediata en toda infraestructura de Active Directory.<\/p>\n<h2>II. Impacto<\/h2>\n<ul>\n<li>Ejecuci\u00f3n remota de c\u00f3digo arbitrario en controladores de dominio sin autenticaci\u00f3n previa.<\/li>\n<li>Compromiso total del dominio de Active Directory, incluyendo acceso a credenciales de todos los usuarios.<\/li>\n<li>Posibilidad de movimiento lateral irrestricto dentro de la red corporativa.<\/li>\n<li>P\u00e9rdida de confidencialidad, integridad y disponibilidad de toda la infraestructura de directorio.<\/li>\n<li>Riesgo de despliegue de ransomware o exfiltraci\u00f3n masiva de datos en toda la organizaci\u00f3n.<\/li>\n<\/ul>\n<h2>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/h2>\n<p>CSIRT Panam\u00e1 insta a todos los administradores de sistemas Windows Server a tomar las siguientes acciones de forma inmediata:<\/p>\n<ul>\n<li>Aplicar de inmediato el parche de seguridad de mayo 2026 (KB correspondiente a CVE-2026-41089) en todos los controladores de dominio.<\/li>\n<li>Implementar el proceso de actualizaci\u00f3n de emergencia fuera de los ciclos normales de mantenimiento.<\/li>\n<li>Monitorear activamente los registros de eventos de Windows (Event Log) en busca de autenticaciones Netlogon an\u00f3malas o fallidas.<\/li>\n<li>Restringir el acceso de red a los puertos de Netlogon (TCP 135, 445) \u00fanicamente a sistemas y subredes de confianza.<\/li>\n<li>Revisar el cat\u00e1logo KEV de CISA y confirmar que todos los sistemas listados tengan los parches aplicados.<\/li>\n<li>Activar alertas espec\u00edficas en el SIEM de la organizaci\u00f3n para detecci\u00f3n de patrones de explotaci\u00f3n de CVE-2026-41089.<\/li>\n<\/ul>\n<h2>Referencias<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/critical-windows-netlogon-remote-code-execution-flaw-now-exploited-in-attacks\/\">BleepingComputer \u2014 Critical Windows Netlogon RCE flaw<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-41089\">NVD \u2014 CVE-2026-41089<\/a><\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2026-41089\">Microsoft MSRC \u2014 CVE-2026-41089<\/a><\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\">CISA KEV Catalog<\/a><\/li>\n<\/ul>\n<hr \/>\n<p><strong>CSIRT PANAMA<\/strong> \u00b7 Computer Security Incident Response Team<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: <a href=\"mailto:incidentes@cert.pa\">incidentes@cert.pa<\/a> \u00b7 <a href=\"mailto:info@cert.pa\">info@cert.pa<\/a><br \/>\nPhone: +507 520-CERT (2378) \u00b7 Web: <a href=\"https:\/\/cert.pa\">https:\/\/cert.pa<\/a> \u00b7 X: @CSIRTPanama \u00b7 Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Cr\u00edtica \u00a0\u00a0\u00a0 Fecha de publicaci\u00f3n: 03 de junio de 2026 \u00a0\u00a0\u00a0 \u00daltima revisi\u00f3n: 03 de junio de 2026 Sistemas Afectados Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server&#8230;<\/p>\n","protected":false},"author":5,"featured_media":5077,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72],"class_list":["post-5072","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5072","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5072"}],"version-history":[{"count":2,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5072\/revisions"}],"predecessor-version":[{"id":5079,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5072\/revisions\/5079"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/5077"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5072"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5072"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5072"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}